KR101480706B1 - 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법 - Google Patents

인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법 Download PDF

Info

Publication number
KR101480706B1
KR101480706B1 KR1020130105946A KR20130105946A KR101480706B1 KR 101480706 B1 KR101480706 B1 KR 101480706B1 KR 1020130105946 A KR1020130105946 A KR 1020130105946A KR 20130105946 A KR20130105946 A KR 20130105946A KR 101480706 B1 KR101480706 B1 KR 101480706B1
Authority
KR
South Korea
Prior art keywords
intranet
security
terminal
gateway
security gateway
Prior art date
Application number
KR1020130105946A
Other languages
English (en)
Inventor
심재희
신인호
허정욱
Original Assignee
(주)엔텔스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)엔텔스 filed Critical (주)엔텔스
Priority to KR1020130105946A priority Critical patent/KR101480706B1/ko
Application granted granted Critical
Publication of KR101480706B1 publication Critical patent/KR101480706B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Abstract

이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법은 인트라넷 관리자가 보안 게이트웨이에 인트라넷을 보안 그룹으로 설정하는 단계, 단말이 이동통신 AP를 포함하는 이동통신 네트워크 또는 와이파이 AP를 포함하는 인터넷 네트워크를 통해 이동통신 네트워크의 보안 게이트웨이에 인트라넷에 접속을 요청하는 단계, 보안 게이트웨이가 단말이 사전에 등록된 단말인지 여부를 인증하는 단계, 인증이 성공하면 보안 게이트웨이와 인트라넷의 접속 게이트웨이가 보안 터널을 형성하는 단계 및 단말이 보안 게이트웨이를 경유하여 인트라넷과 데이터 통신을 수행하는 단계를 포함한다.

Description

인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법{NETWORK SYSTEM FOR PROVIDING SECURITY TO INTRANET AND METHOD FOR PROVIDING SECURITY TO INTRANET USING SECURITY GATEWAY OF MOBILE COMMUNICATION NETWORK}
이하 설명하는 기술은 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이 네트워크 시스템에서 인트라넷에 보안성을 제공하는 방법에 관한 것이다.
기업 등이 사용하는 인트라넷에서 가장 큰 이슈 중 하나는 인트라넷의 보안성 확보이다. 스니핑(sniffing), 악성 바이러스, 비밀번호 크랙킹(cracking), 피싱(phishing), 파밍(Pharming) 등과 같이 인트라넷을 공격하거나 해킹하기 위한 다양한 방법이 등장하고 있다. 이과 같은 인트라넷에 대한 공격 방법은 보안 방법의 발전과 더불어 더욱 정교하게 발전하고 있다.
인트라넷은 각 공격 방법에 대응하기 위한 솔루션 또는 시스템을 사용하고 있다. 예컨대, 방화벽, 바이러스 대응 시스템(antivirus system), 침입 방지 시스템(intrusion prevention system), 핑거 프린트 장치(device finger print), 패턴 인식 시스템(pattern recognition system) 등이 사용된다.
한편 인트라넷 접근 자체를 제어(NAC: Network Access Control)하기 위하여 인트라넷에 접속을 요청하는 단말에 에이전트를 사용하기도 하고, 가상 랜(VLAN) 등을 사용하기도 한다.
한국공개특허 2002-0043994 한국공개특허 2003-0033383 한국공개특허 2002-0076387
이하 설명하는 기술은 인트라넷 관리자가 이미 구축된 이동통신 네트워크를 이용하여 단말부터 인트라넷까지 데이터를 보호하는 앤드 투 앤드(end-to-end) 보호 기법을 제공하고자 한다.
이하 설명하는 기술의 해결과제는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 해결과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 인트라넷에 보안성을 제공하는 네트워크 시스템은 인트라넷 장치에 접속을 요청하는 단말, 접속 게이트웨이를 포함하는 인트라넷 장치 및 접속 게이트웨이와 IPSec 터널을 형성하는 보안 게이트웨이를 포함하는 이동통신 네트워크 장치를 포함한다. 여기서 보안 게이트웨이는 사전에 등록된 단말인지 여부를 인증하고, 인증에 성공한 경우에만 상기 단말이 상기 인트라넷 장치에 접속하도록 제어한다.
보안 게이트웨이는 사전에 등록된 승인 단말의 식별 정보를 이용하여 단말을 인증할 수 있다.
식별 정보는 보안 게이트웨이, 이동통신 네트워크 장치에 포함된 제1 인증 서버 또는 인트라넷 장치에 포함된 제2 인증 서버 중 적어도 하나에 저장될 수 있다.
인트라넷 장치는 단말을 통해 접속하는 사용자의 아이디 및 비밀번호를 입력받고, 접속 게이트웨이 또는 별도의 보안 서버를 이용하여 내부 인증을 수행할 수 있다.
이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법은 단말이 이동통신 AP를 포함하는 이동통신 네트워크 또는 와이파이 AP를 포함하는 인터넷 네트워크를 통해 이동통신 네트워크의 보안 게이트웨이에 인트라넷에 접속을 요청하는 단계, 보안 게이트웨이가 단말이 사전에 등록된 단말인지 여부를 인증하는 단계, 인증이 성공하면 보안 게이트웨이와 인트라넷의 접속 게이트웨이가 보안 터널을 형성하는 단계 및 단말이 보안 게이트웨이를 경유하여 인트라넷과 데이터 통신을 수행하는 단계를 포함한다. 상기 보안 터널은 IPSec 터널일 수 있다.
보안 터널을 형성하는 단계는 단말과 보안 게이트웨이 사이에 보안 터널을 형성하는 단계를 더 포함할 수 있다.
인증하는 단계는 보안 게이트웨이가 사전에 등록된 승인 단말의 식별 정보를 이용하여 단말을 인증한다.
식별 정보는 보안 게이트웨이, 이동통신 네트워크 장치에 포함된 제1 인증 서버 또는 인트라넷 장치에 포함된 제2 인증 서버 중 적어도 하나에 저장될 수 있다.
이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법은 접속을 요청하는 단계 전에 인트라넷 관리자가 보안 게이트웨이에 인트라넷을 보안 그룹으로 설정하는 단계를 더 포함할 수 있다.
설정하는 단계는 인트라넷 관리자가 인증을 위한 승인 단말의 식별 정보를 보안 게이트웨이, 이동통신 네트워크 장치에 포함된 제1 인증 서버 또는 인트라넷 장치에 포함된 제2 인증 서버 중 적어도 하나에 저장하는 단계를 포함할 수 있다.
인증하는 단계는 보안 게이트웨이가 승인 단말의 식별 정보와 접속을 요청한 단말의 식별 정보를 비교하여 수행한다.
데이터 통신을 수행하는 단계는 인트라넷이 단말을 통해 접속하는 사용자의 아이디 및 비밀번호를 입력받고, 접속 게이트웨이 또는 별도의 보안 서버를 이용하여 내부 인증을 수행하는 단계를 포함할 수 있다.
이하 설명하는 기술은 이동통신 네트워크 구성 중 데이터 경로에 보호 터널링을 형성하는 게이트웨이를 이용하여 인트라넷에 추가적인 시스템 구축 없이 보안성을 확보할 수 있다.
이하 설명하는 기술의 효과는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
도 1은 인트라넷에 보안성을 제공하는 네트워크 시스템에 대한 구성을 도시한 블록도의 예이다.
도 2는 인트라넷에 보안성을 제공하는 네트워크 시스템에서 이동통신 네트워크를 경유하는 데이터 경로를 나타내는 예이다.
도 3은 인트라넷에 보안성을 제공하는 네트워크 시스템에서 와이파이 AP를 통한 인터넷 네트워크를 경유하는 데이터 경로를 나타내는 예이다.
도 4는 인트라넷에 보안성을 제공하는 네트워크 시스템에서 인트라넷 관리자가 승인 단말의 식별 정보를 등록하는 구성에 대한 예를 도시한다.
도 5는 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법에 대한 순서도의 예이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 해당 구성요소들은 상기 용어들에 의해 한정되지는 않으며, 단지 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
본 명세서에서 사용되는 용어에서 단수의 표현은 문맥상 명백하게 다르게 해석되지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함한다" 등의 용어는 설시된 특징, 개수, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 의미하는 것이지, 하나 또는 그 이상의 다른 특징들이나 개수, 단계 동작 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 배제하지 않는 것으로 이해되어야 한다.
도면에 대한 상세한 설명을 하기에 앞서, 본 명세서에서의 구성부들에 대한 구분은 각 구성부가 담당하는 주기능 별로 구분한 것에 불과함을 명확히 하고자 한다. 즉, 이하에서 설명할 2개 이상의 구성부가 하나의 구성부로 합쳐지거나 또는 하나의 구성부가 보다 세분화된 기능별로 2개 이상으로 분화되어 구비될 수도 있다. 그리고 이하에서 설명할 구성부 각각은 자신이 담당하는 주기능 이외에도 다른 구성부가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성부 각각이 담당하는 주기능 중 일부 기능이 다른 구성부에 의해 전담되어 수행될 수도 있음은 물론이다. 따라서, 본 명세서를 통해 설명되는 각 구성부들의 존재 여부는 기능적으로 해석되어야 할 것이며, 이러한 이유로 본 발명의 인트라넷에 보안성을 제공하는 네트워크 시스템(100)에 따른 구성부들의 구성은 본 발명의 목적을 달성할 수 있는 한도 내에서 해당 도면과는 상이해질 수 있음을 명확히 밝혀둔다.
또, 방법 또는 동작 방법을 수행함에 있어서, 상기 방법을 이루는 각 과정들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 과정들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
본 발명은 이동통신 사업자가 구축한 이동통신 네트워크의 구성을 사용하여 기업 등이 사용하는 인트라넷에 앤드 투 앤드(end-to-end) 보안을 제공한다. 기업 등은 인트라넷에 추가적인 보안 솔루션이나 시스템을 구축하지 않고, 손쉽게 인트라넷의 보안성을 확보할 수 있다.
이동통신 네트워크 장치는 경로에 보안 터널을 형성하는 보안 게이트웨이를 포함해야 한다. 최근 3GPP 표준에서도 정의된 ePDG(evolved Packet Data Gateway)를 포함하는 시스템이 구축되고 있다. 따라서 본 발명은 기구축된 ePDG와 같은 구성을 이용하여 단말에서 인트라넷에 이르는 경로에 보안성을 확보하고자 한다.
이하에서는 도면을 참조하면서 인트라넷에 보안성을 제공하는 네트워크 시스템(100) 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법(500)에 관하여 구체적으로 설명하겠다.
도 1은 인트라넷에 보안성을 제공하는 네트워크 시스템(100)에 대한 구성을 도시한 블록도의 예이다.
인트라넷에 보안성을 제공하는 네트워크 시스템(100)은 인트라넷 장치에 접속을 요청하는 단말(110), 접속 게이트웨이(141)를 포함하는 인트라넷 장치(140) 및 단말(110)과 접속 게이트웨이(141) 사이에 보안 터널을 형성하는 보안 게이트웨이(124)를 포함한다.
단말(110)은 일반적인 모바일 단말, 스마트폰, 태블릿 PC, 노트북, 퍼스널 컴퓨터 등을 포함한다. 이동통신사업자가 제공하는 네트워크 또는 WiFi 네트워크에 접속할 수 있는 장치는 모두 본 발명의 단말(110)에 포함된다.
인트라넷에 보안성을 제공하는 네트워크 시스템(100)이 보안 게이트웨이(124)를 이용하여 형성하는 보안 터널은 IPSec 터널이 바람직하다.
IPSec은 인터넷을 통한 정보의 보안 전송을 지원하는 계층 3 프로토콜 표준이다. IPSec은 IP 트래픽을 위한 암호화 메커니즘과 더불어 IPSec 터널 모드라고 부르는 IP 상의 IP 터널 모드의 패킷 형식도 정의한다. IPSec 터널은 터널 클라이언트와 터널 서버로 이루어지며 이 둘은 IPSec 터널링과 협상된 암호화 메커니즘을 사용한다.
물론, IPSec 터널 외에 통신 보안을 위해 사용되는 다양한 프로토콜 및 기법 등이 사용될 수도 있다. 이하 설명의 편의를 위해 보안 터널은 IPSec 터널인 것으로 전제하고 설명한다.
보안 게이트웨이(124)는 사전에 등록된 단말인지 여부를 인증하고, 인증에 성공한 경우에만 상기 단말(110)이 상기 인트라넷 장치(140)에 접속하도록 제어한다.
단말(110)이 IPSec 프로토콜을 포함하고 있다면, 단말(110)이 보안 게이트웨이(124)에 접속을 요청하는 과정 전에 IPSec 터널을 형성할 수도 있다. 나아가, 단말(110)이 보안 게이트웨이(124)에 접속을 요청하고 인증이 성공한 후에 단말(110)과 보안 게이트웨이(124)에 IPSec 터널을 형성할 수도 있다. 기본적으로 인증이 성공한 후에 단말(110)과 보안 게이트웨이(124) 사이에 IPSec 터널을 형성한다고 가정한다.
단말(110)이 IPSec 프로토콜을 이미 갖고 있다면, 보안 게이트웨이(124)는 인증이 성공한 경우에 단말(110)에 존재하는 IPSec 프로토콜을 이용하여 단말(110)과 보안 게이트웨이(124) 사이에 IPSec 터널을 형성할 수 있다. 이 경우 단말(110)은 3GPP 표준에 따라 IPSec 프로토콜을 지원하는 스마트폰과 같은 장치일 것이다. 단말(110)에 별도의 에이전트가 없어도 되고, 이동통신 네트워크의 MDM과 같은 구성의 제어를 받을 필요도 없다. 또한 기존의 스마트폰 경우 OS 업그레이드를 통하여 IPSec 기능을 확보할 수도 있다.
만약 단말(110)이 IPSec 프로토콜을 갖고 있지 않다면, 보안 게이트웨이(124)는 인증이 성공한 경우에 단말(110)에 IPSec 프로토콜을 전송하고, 이후 단말(110)과 보안 게이트웨이(124) 사이에 IPSec 터널을 형성할 수도 있다.
단말(110)은 이동통신 네트워크 장치(120)에 포함된 이동통신 AP(121)를 통해 보안 게이트웨이(124)에 접속하거나, 별도의 와이파이 AP(131) 등을 통해 보안 게이트웨이(124)에 접속할 수도 있다.
도 1 내지 도 3에서 IPSec G/W(124)라고 표시한 구성이 보안 게이트웨이(124)이다. 다양한 보안 방식이 가능하겠지만, 기본적으로는 IPSec 보안 방식을 사용하는 것이 바람직하기 때문에 대표적으로 IPSec G/W라고 표기한 것이다. 도 1 내지 도 3에서 Packet G/W(123)라고 표시한 구성은 이동통신 네트워크(120) 구성 중 패킷 데이터를 송수신하는 게이트웨이에 해당한다. 예컨대, WCDMA(HSDPA) 경우 GGSN(Serving GPRS support node)이고, LTE 경우 PGW(PDN Gateway)에 해당한다. 도 1 내지 도 3에서 인트라넷(140)의 접속 게이트웨이(141)를 SeGW(141)라고 표시하였다. 기본적으로 인트라넷(140)에 접속을 시작하는 게이트웨이는 인트라넷(140) 접속을 허용할지 여부를 결정하는 기능을 수행한다. 따라서 SeGW(Security Gateway)라고 표시하였다. 그러나 본 발명에서는 이를 접속 게이트웨이(141)라고 명명한다.
데이터 서버(142)는 기업용 데이터 서비스를 제공하는 구성이다. 데이터 서버(142)는 사용자가 WEB 또는 응용 프로그램을 통하여 서비스 사업자의 애플리케이션 서버, 사내 시스템 및 제한된 기업 내의 정보에 접근하도록 할 수 있다.
도 2는 인트라넷에 보안성을 제공하는 네트워크 시스템(100)에서 이동통신 네트워크(120)를 경유하는 데이터 경로를 나타내는 예이다. 이동통신 네트워크(120)는 WCDMA(3G), LTE(4G) 또는 LTE-Advanced 방식을 사용하는 네트워크이다. 3G 이동통신 네트워크라고 해도 코어 네트워크에 본 발명의 보안 게이트웨이(124)가 존재하면, 해당 이동통신 네트워크(120)를 이용하여 인트라넷(140)에 보안성을 확보할 수 있다. 3GPP 표준에서 정의하는 ePDG(evolved Packet Data Gateway)를 이용할 수도 있다.
도 2에서는 단말(110)이 이동통신 AP(121)를 경유하여 보안 게이트웨이(124)에 도달하는 제1 경로 및 보안 게이트웨이(124)에서 인트라넷(140)의 접속 게이트웨이(141)에 이르는 제2 경로에 모두 IPSec 터널을 형성하는 것으로 도시하였다.
그러나 제1 경로는 일반적으로 이동통신 사업자가 제공하는 보안 모듈 내지 시스템이 적용되므로, 제1 경로에는 이동통신 사업자가 제공하는 보안방식을 사용하고, IPSec 터널을 사용하지 않을 수도 있다. 다만 제2 경로는 반드시 IPSec 터널을 사용해야 한다. IPSec 터널링에 대한 구성은 해당 분야에 널리 알려진 기술이므로 자세한 설명은 생략한다.
도 3은 인트라넷에 보안성을 제공하는 네트워크 시스템(100)에서 와이파이 AP(131)를 통한 인터넷 네트워크(130)를 경유하는 데이터 경로를 나타내는 예이다.
도 3에서는 단말(110)이 와이파이 AP(131)를 경유하여 보안 게이트웨이(124)에 도달하는 제1 경로 및 보안 게이트웨이(124)에서 인트라넷(140)의 접속 게이트웨이(141)에 이르는 제2 경로에 모두 IPSec 터널을 형성하는 것으로 도시하였다. 와아파이 통신은 일반적으로 보안성이 취약하므로, 단말(110)에서 보안 게이트웨이(124)에 이르는 제1 경로도 IPSec 터널을 사용하는 것이 바람직하다. 한편 인터넷 네트워크(130)는 와이파이 방식 이외에도 모바일 WiMAX 등과 같은 방식이 사용될 수도 있다.
도 4는 인트라넷에 보안성을 제공하는 네트워크 시스템(100)에서 인트라넷 관리자가 승인 단말의 식별 정보를 등록하는 구성에 대한 예를 도시한다.
보안 게이트웨이(124)는 사전에 등록된 승인 단말의 식별 정보를 이용하여 단말(110)을 인증한다. 이를 위해서는 사전에 특정 인트라넷에 접근할 수 있는 단말에 대한 정보가 필요하다.
단말의 식별 정보는 통신 가입자 번호(전화번호), 단말기 시리얼 번호 또는 SIM 카드의 식별 번호 등이 사용될 수 있다. 이러한 식별 정보는 사전에 인트라넷 관리자 또는 이동통신 사업자를 통해 특정 장치에 저장되어야 한다. 사전에 식별 정보가 등록된 단말을 승인 단말이라고 명명한다.
승인 단말의 식별 정보는 보안 게이트웨이(124), 이동통신 네트워크(120) 장치에 포함된 제1 인증 서버(125) 또는 인트라넷 장치(140)에 포함된 제2 인증 서버(143) 중 적어도 하나에 저장될 수 있다.
도 4(a)에서 이동통신 네트워크(120)은 소위 LTE 네트워크에 대한 구성 중 일부를 도시한다. SGW(Serving Gateway, 122)는 단말(110)과 이동통신 코어 네트워크가 주고 받는 패킷 데이터를 제어하는 장치이다. 한편 도 4(a)에서는 보안 게이트웨이(124)를 ePDG라고 표기하였다.
단말의 식별 정보를 저장하는 구성은 전술한 바와 같이 다양하게 존재할 수 있다. (1) 인트라넷 관리자 입장에서 인트라넷(140)에 접근할 수 있는 단말(사용자)을 가장 쉽게 관리할 수 있는 방법은 인트라넷(140) 내부에 존재하는 제2 인증 서버(143)에 승인 단말의 식별 정보를 저장하는 것이다. 이 경우 이동통신 네트워크(120)의 보안 게이트웨이(124)가 제2 인증 서버(143)의 정보를 전달받아야 한다. 도 4에서는 보안 게이트웨이(124)와 인트라넷(140)의 AAA(143)가 별도로 연결된 것으로 도시하였다. 물론 보안 게이트웨이(124)는 인트라넷(140)의 접속 게이트웨이(141)를 경유하여 인트라넷(140)의 AAA(143)에 접근할 수도 있다.
AAA(Authentication, Authorization, and Accounting)는 일반적으로 네트워크 장치에서 인증을 수행하는 서버에 해당한다. 인트라넷(140)의 AAA(143)는 반드시 이동통신 네트워크(120)의 AAA와 동일한 정보를 저장할 필요는 없고, 승인 단말의 식별 정보를 저장하면 충분하다. AAA와 유사할 기능을 수행하기 때문에, AAA라고 표시한 것에 불과하므로, 결국 인트라넷(140)의 AAA는 인증을 위한 서버라고 할 수 있다.
(2) 나아가 이동통신 네트워크(120)에서 사용자 인증을 수행하는 구성인 AAA(125)에 승인 단말의 식별 정보를 저장할 수도 있다. 이 경우 본래의 이동통신 네트워크(120)의 AAA가 저장하는 정보와는 구분되게 저장하는 것이 바람직하다. 도 4(a)에서는 AAA(125)가 보안 게이트웨이(124)에 직접 연결되는 것으로 도시하였으나, SGW(122) 등을 경유하여 보안 게이트웨이(124)에 연결될 수도 있다.
(3) 또는 보안 게이트웨이(124) 자체에 승인 단말의 식별 정보를 저장할 수도 있을 것이다. 이 경우 보안 게이트웨이(124)는 자체적으로 별도의 저장 장치를 구비해야 한다.
이동통신 네트워크(120)의 구성에 승인 단말의 식별 정보를 저장하는 경우, 인트라넷(140)의 관리자가 해당 정보를 이동통신 사업자에게 전달하여 저장할 수도 있고, 또는 인트라넷 관리자가 승인을 얻어 이동통신 네트워크(120)의 구성 중 승인 단말의 식별 정보를 저장하는 구성에 온라인 또는 오프라인으로 접속하여 직접 승인 단말의 식별 정보를 저장할 수도 있을 것이다.
한편 인트라넷(140)에 접근을 요청하는 단말(110)의 사용자는 본 발명의 이동통신 네트워크 서비스에 가입한 사용자일 수도 있다. 이 경우 승인 단말의 식별 정보 모두 별도로 저장하지 않고, 이동통신 네트워크 본래의 AAA 또는 인증을 위한 구성이 관리하는 정보를 이용할 수도 있을 것이다.
도 4(b)에서 이동통신 네트워크(120)은 소위 3G(HSDPA) 네트워크에 대한 구성 중 일부를 도시한다. SGSN(Serving GPRS support node, 122)는 단말(110)과 이동통신 코어 네트워크가 주고 받는 패킷 데이터를 제어하는 장치이다.
인트라넷(140)에 포함된 제2 인증 서버(AAA, 143) 및 이동통신 네트워크(120)의 보안 게이트웨이(124)에 연결된 제1 인증 서버(AAA, 125)는 도 4(a)와 동일하다. 다만 3G 네트워크 자체의 인증 구성을 사용하여 단말(110)을 인증하는 경우, SGSN(122)에 연결된 HLR(126) 또는 별도의 인증 서버(AAA)를 사용할 수도 있을 것이다.
도 5는 이동통신 네트워크(120)의 보안 게이트웨이(124)를 이용하여 인트라넷에 보안성을 제공하는 방법(500)에 대한 순서도의 예이다. 이동통신 네트워크(120)의 보안 게이트웨이(124)를 이용하여 인트라넷에 보안성을 제공하는 방법(500)은 결국 이동통신 네트워크(120)의 구성을 이용하여 인트라넷(140)에 보안성을 제공하는 보안 서비스라고 하겠다. 이하 보안 서비스라고 명명하는 것은 본 발명에 따른 이동통신 네트워크(120)의 보안 게이트웨이(124)를 이용하여 인트라넷에 보안성을 제공하는 방법(500)과 동일한 의미이다.
이동통신 네트워크(120)의 보안 게이트웨이(124)를 이용하여 인트라넷에 보안성을 제공하는 방법(500)은 먼저 인트라넷 관리자 또는 이동통신사업자가 보안 게이트웨이(124)에 접속하여 해당 인트라넷을 보안 그룹으로 설정해야 한다(510). 보안 그룹이란 이동통신 네트워크(120) 구성을 사용하여 인트라넷에 보안성을 제공하는 서비스 대상인 대상을 의미한다. 특정 기업, 연구기관, 금융기관 또는 정부부처 중 본 발명에 따른 보안 서비스를 원하는 대상은 자신의 인트라넷을 보안 그룹에 포함시켜야 한다. 특정 인트라넷을 보안 그룹에 포함시키기 위해서 인트라넷 관리자 등은 이동통신 네트워크(120)의 보안 게이트웨이(124)에 해당 인트라넷의 식별 정보(IP 주소 등)를 저장하면 된다. 이 과정은 인트라넷 관리자가 네트워크를 통해 보안 게이트웨이(124)에 접속하여 수행할 수도 있고, 오프라인에서 보안 게이트웨이(124)를 조작하여 수행할 수도 있다. 나아가 보안 그룹의 정보는 보안 게이트웨이(124)와 연결된 별도의 저장 매체에서 관리할 수도 있다.
또한 보안 그룹을 설정하는 단계는 추가적으로 어떤 단말이 해당 인트라넷(140)에 접근할 수 있는지 여부에 대한 정보를 보안 게이트웨이(124)가 파악할 수 있도록 해야 한다. 이를 위해 전술한 바와 같이 인트라넷 관리자 등은 인증을 위한 승인 단말의 식별 정보를 보안 게이트웨이(124), 이동통신 네트워크(120) 장치에 포함된 제1 인증 서버(125) 또는 인트라넷 장치(140)에 포함된 제2 인증 서버(143) 중 적어도 하나에 저장할 수 있다.
이후 단말(110)은 이동통신 AP(121)를 포함하는 이동통신 네트워크(120) 또는 와이파이 AP(131)를 포함하는 인터넷 네트워크(130)를 통해 이동통신 네트워크(120)의 보안 게이트웨이(124)에 인트라넷(140)에 접속을 요청한다(520).
보안 게이트웨이(124)는 인트라넷(140)에 접속을 요청한 단말(110)이 해당 인트라넷(140)에 접속할 수 있는 단말인지 여부를 인증한다(530). 보안 게이트웨이(124)는 먼저 해당 인트라넷(140)이 전술한 보안 그룹에 포함되었는지 확인하고, 포함된 경우 승인 단말의 식별 정보와 접속을 요청한 단말(110)의 식별 정보를 비교하여 인증을 수행한다.
인트라넷(140)에 접속을 요청한 단말(110)이 인증에 실패하면, 보안 게이트웨이(124)는 단말(110)의 접속 요청을 무시한다(540). 도 5에서는 이 과정을 접속 차단이라고 표시하였다. 만약 접속 요청 과정에서 단말(110)과 보안 게이트웨이(124)에 보안 터널을 형성했다면, 형성한 보안 터널을 종료한다. 나아가 인증이 실패한 경우 보안 게이트웨이(124)는 단말(110)에 인증된 단말이 아니라는 메시지를 전송할 수도 있을 것이다.
단말(110)의 인증이 성공하면, 단말(110)이 인트라넷(140)의 접속 게이트웨이(141)에 이르는 경로에 보안 터널을 형성한다(550). 전술한 바와 같이 여기서 보안 터널은 IPSec 터널이 바람직하다.
보안 터널을 형성하는 과정은 인트라넷(140)에 보안성을 제공하는 네트워크 시스템(100)에서 설명한 바와 같이, 단말(110)이 인트라넷(140)의 접속을 요청하는 단계(520)에서 단말(110)과 보안 게이트웨이(124) 사이(제1 경로)에 IPSec 터널을 형성하고, 인증이 성공한 후에 보안 게이트웨이(124)와 인트라넷(140)의 접속 게이트웨이(141) 사이(제2 경로)에 IPSec 터널을 형성할 수도 있다. 나아가 인증이 성공한 후에 단말(110)과 보안 게이트웨이(124) 사이의 제1 경로 및 보안 게이트웨이(124)와 인트라넷(140)의 접속 게이트웨이(141) 사이의 제2 경로에 IPSec 터널을 형성할 수도 있다.
보안 터널이 형성되면, 단말(110)은 보안 터널을 경유하여 인트라넷(140)의 접속 게이트웨이(141)에 접속한다(560). 이후 접속 게이트웨이(141) 또는 인트라넷(140) 내부의 개별 네트워크 서버가 단말(110)의 사용자에게 아이디(ID) 및 비밀번호(PW)를 요청할 수 있다(570). 인트라넷(140)에서 ID와 PW를 사용하여 수행되는 인증은 내부 인증이라고 명명한다.
내부 인증이 최종적으로 실패하면 인트라넷(140)의 접속 게이트웨이(141)는 단말(110)의 접속을 차단할 수 있다(580). 접속 게이트웨이(141)는 단말(110)이 인트라넷(140)의 내부 구성에 접근하지 못하도록 하고, 최종적으로는 보안 게이트웨이(124)에 신호를 보내어 보안 터널을 종료할 것이다.
내부 인증이 성공하면, 단말(110)은 보안 터널(IPSec 터널)을 통하여 인트라넷(140)과 데이터 통신을 수행한다(590). 예컨대, 단말(110)은 인트라넷(140)의 데이터 서버(142)에 접속하여 기업 내부 자료에 접근하거나, 기업용 애플리케이션을 실행할 수도 있다.
본 실시예 및 본 명세서에 첨부된 도면은 본 발명에 포함되는 기술적 사상의 일부를 명확하게 나타내고 있는 것에 불과하며, 본 발명의 명세서 및 도면에 포함된 기술적 사상의 범위 내에서 당업자가 용이하게 유추할 수 있는 변형 예와 구체적인 실시예는 모두 본 발명의 권리범위에 포함되는 것이 자명하다고 할 것이다.
100 : 인트라넷에 보안성을 제공하는 네트워크 시스템
110 : 단말 120 : 이동통신 네트워크
121 : 이동통신 AP 122 : SGW/SGSN
123 : Packet Gateway(PGW/GGSN) 124 : 보안 게이트웨이
125 : 제1 인증 서버(AAA ) 126: HLR
130 : 인터넷 네트워크 131 : 와이파이 AP
140 : 인트라넷 141 : 접속 게이트웨이(SeGW)
142 : 데이터 서버 143 : 제2 인증 서버(AAA)

Claims (16)

  1. 인트라넷 장치에 접속을 요청하는 단말;
    접속 게이트웨이를 포함하는 인트라넷 장치; 및
    상기 접속 게이트웨이와 IPSec 터널을 형성하는 보안 게이트웨이를 포함하는 이동통신 네트워크 장치를 포함하되,
    상기 보안 게이트웨이는 사전에 등록된 단말인지 여부를 인증하고, 인증에 성공한 경우에만 상기 단말이 상기 인트라넷 장치에 접속하도록 제어하고,
    상기 보안 게이트웨이는 ePDG(Evolved Packet Data Gateway)인 인트라넷에 보안성을 제공하는 네트워크 시스템.
  2. 제1항에 있어서,
    상기 보안 게이트웨이는
    상기 인증이 성공한 경우에 상기 단말에 IPSec 프로토콜을 전송하거나, 상기 단말에 존재하는 IPSec 프로토콜을 이용하여 상기 단말과 상기 보안 게이트웨이 사이에 IPSec 터널을 형성하는 인트라넷에 보안성을 제공하는 네트워크 시스템.
  3. 제1항에 있어서,
    상기 보안 게이트웨이는
    사전에 등록된 승인 단말의 식별 정보를 이용하여 상기 단말을 인증하는 인트라넷에 보안성을 제공하는 네트워크 시스템.
  4. 제3항에 있어서,
    상기 식별 정보는
    상기 보안 게이트웨이, 상기 이동통신 네트워크 장치에 포함된 제1 인증 서버 또는 상기 인트라넷 장치에 포함된 제2 인증 서버 중 적어도 하나에 저장되는 인트라넷에 보안성을 제공하는 네트워크 시스템.
  5. 제1항에 있어서,
    상기 단말은
    상기 이동통신 네트워크 장치에 포함된 이동통신 AP를 통해 상기 보안 게이트웨이에 접속하거나, 별도의 와이파이 AP를 통해 상기 보안 게이트웨이에 접속하는 인트라넷에 보안성을 제공하는 네트워크 시스템.
  6. 제1항에 있어서,
    상기 인트라넷 장치는
    상기 단말을 통해 접속하는 사용자의 아이디 및 비밀번호를 입력받고, 상기 접속 게이트웨이 또는 별도의 보안 서버를 이용하여 내부 인증을 수행하는 인트라넷에 보안성을 제공하는 네트워크 시스템.
  7. 삭제
  8. 단말이 이동통신 AP를 포함하는 이동통신 네트워크 또는 와이파이 AP를 포함하는 인터넷 네트워크를 통해 이동통신 네트워크의 보안 게이트웨이에 인트라넷에 접속을 요청하는 단계;
    상기 보안 게이트웨이가 상기 단말이 사전에 등록된 단말인지 여부를 인증하는 단계;
    상기 인증이 성공하면 상기 보안 게이트웨이와 인트라넷의 접속 게이트웨이가 보안 터널을 형성하는 단계; 및
    상기 단말이 상기 보안 게이트웨이를 경유하여 상기 인트라넷과 데이터 통신을 수행하는 단계를 포함하되,
    상기 보안 게이트웨이는 ePDG(Evolved Packet Data Gateway)인 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법.
  9. 제8항에 있어서,
    상기 보안 터널은 IPSec 터널인 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법.
  10. 제8항에 있어서,
    상기 보안 터널을 형성하는 단계는
    상기 단말과 상기 보안 게이트웨이 사이에 보안 터널을 형성하는 단계를 더 포함하는 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법.
  11. 제8항에 있어서,
    상기 인증하는 단계는
    상기 보안 게이트웨이가 사전에 등록된 승인 단말의 식별 정보를 이용하여 상기 단말을 인증하는 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법.
  12. 제11항 있어서,
    상기 식별 정보는
    상기 보안 게이트웨이, 상기 이동통신 네트워크에 포함된 제1 인증 서버 또는 상기 인트라넷에 포함된 제2 인증 서버 중 적어도 하나에 저장되는 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법.
  13. 제8항에 있어서,
    상기 접속을 요청하는 단계 전에
    인트라넷 관리자가 상기 보안 게이트웨이에 상기 인트라넷을 보안 그룹으로 설정하는 단계를 더 포함하는 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법.
  14. 제13항에 있어서,
    상기 설정하는 단계는
    상기 인트라넷 관리자가 인증을 위한 승인 단말의 식별 정보를 상기 보안 게이트웨이, 상기 이동통신 네트워크에 포함된 제1 인증 서버 또는 상기 인트라넷에 포함된 제2 인증 서버 중 적어도 하나에 저장하는 단계를 포함하는 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법.
  15. 제14항에 있어서,
    상기 인증하는 단계는
    상기 보안 게이트웨이가 상기 승인 단말의 식별 정보와 접속을 요청한 상기 단말의 식별 정보를 비교하여 수행하는 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법.
  16. 제8항에 있어서,
    상기 데이터 통신을 수행하는 단계는
    상기 인트라넷이 상기 단말을 통해 접속하는 사용자의 아이디 및 비밀번호를 입력받고, 상기 접속 게이트웨이 또는 별도의 보안 서버를 이용하여 내부 인증을 수행하는 단계를 포함하는 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법.
KR1020130105946A 2013-09-04 2013-09-04 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법 KR101480706B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130105946A KR101480706B1 (ko) 2013-09-04 2013-09-04 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130105946A KR101480706B1 (ko) 2013-09-04 2013-09-04 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법

Publications (1)

Publication Number Publication Date
KR101480706B1 true KR101480706B1 (ko) 2015-01-09

Family

ID=52588293

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130105946A KR101480706B1 (ko) 2013-09-04 2013-09-04 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법

Country Status (1)

Country Link
KR (1) KR101480706B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019093581A1 (ko) * 2017-11-09 2019-05-16 콘텔라 주식회사 로라 망에서 단말 관리 및 메시지 필터링을 제공하는 장치 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010057104A (ko) * 1999-12-18 2001-07-04 이계철 서비스 게이트웨이를 이용한 인터넷 vpn서비스 제공방법
KR20030035587A (ko) * 2001-10-31 2003-05-09 주식회사 케이티 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스처리장치 및 방법
KR100738403B1 (ko) * 2006-01-06 2007-07-11 에스케이 텔레콤주식회사 인트라넷 게이트웨이를 이용하여 구내 무선전화 시스템의콜 에이전트 이중화 방법
KR20120119828A (ko) * 2011-04-22 2012-10-31 주식회사 케이티 인터넷?인트라넷 서비스를 동시 지원하는 패킷 데이터 네트워크 게이트웨이 장치 및 펨토 기지국

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010057104A (ko) * 1999-12-18 2001-07-04 이계철 서비스 게이트웨이를 이용한 인터넷 vpn서비스 제공방법
KR20030035587A (ko) * 2001-10-31 2003-05-09 주식회사 케이티 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스처리장치 및 방법
KR100738403B1 (ko) * 2006-01-06 2007-07-11 에스케이 텔레콤주식회사 인트라넷 게이트웨이를 이용하여 구내 무선전화 시스템의콜 에이전트 이중화 방법
KR20120119828A (ko) * 2011-04-22 2012-10-31 주식회사 케이티 인터넷?인트라넷 서비스를 동시 지원하는 패킷 데이터 네트워크 게이트웨이 장치 및 펨토 기지국

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019093581A1 (ko) * 2017-11-09 2019-05-16 콘텔라 주식회사 로라 망에서 단말 관리 및 메시지 필터링을 제공하는 장치 및 방법

Similar Documents

Publication Publication Date Title
US11706255B2 (en) Systems and methods for obtaining permanent MAC addresses
EP3545702B1 (en) User identity privacy protection in public wireless local access network, wlan, access
EP3408988B1 (en) Method and apparatus for network access
EP3266180B1 (en) Sponsored connectivity to cellular networks using existing credentials
JP6385589B2 (ja) アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法
US11082838B2 (en) Extensible authentication protocol with mobile device identification
CN112566050B (zh) 附件无线设备的蜂窝服务账户转移
EP3272099B1 (en) Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
CN106105134B (zh) 用于改进端到端数据保护的方法和装置
EP1770940B1 (en) Method and apparatus for establishing a communication between a mobile device and a network
KR102390380B1 (ko) 비인증 사용자에 대한 3gpp 진화된 패킷 코어로의 wlan 액세스를 통한 긴급 서비스의 지원
CN103597779A (zh) 用于为用户实体提供网络接入的方法及装置
Li et al. Transparent AAA security design for low-latency MEC-integrated cellular networks
EP3614741B1 (en) Processing apparatus for terminal access to 3gpp network and communication system and corresponding system and computer program product
RU2727160C1 (ru) Аутентификация для систем следующего поколения
EP3844929B1 (en) Non-3gpp device access to core network
EP4344135A2 (en) Non-3gpp device access to core network
CN104683296A (zh) 安全认证方法和系统
CN101697550A (zh) 一种双栈网络访问权限控制方法和系统
US9060028B1 (en) Method and apparatus for rejecting untrusted network
WO2006079953A1 (en) Authentication method and device for use in wireless communication system
US20080244262A1 (en) Enhanced supplicant framework for wireless communications
US20150074782A1 (en) Secure method for sso subscriber accessing service from outside of home network
KR101480706B1 (ko) 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법
KR102185215B1 (ko) 인증 장치의 동작 방법, 네트워크 접속 및 인증 시스템, 종단단말의 동작 방법 및 접속단말의 동작 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180105

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190103

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200106

Year of fee payment: 6