KR101960685B1 - 네트워크 보안성을 강화한 홈 시큐리티 방법 및 시스템 - Google Patents

네트워크 보안성을 강화한 홈 시큐리티 방법 및 시스템 Download PDF

Info

Publication number
KR101960685B1
KR101960685B1 KR1020120094074A KR20120094074A KR101960685B1 KR 101960685 B1 KR101960685 B1 KR 101960685B1 KR 1020120094074 A KR1020120094074 A KR 1020120094074A KR 20120094074 A KR20120094074 A KR 20120094074A KR 101960685 B1 KR101960685 B1 KR 101960685B1
Authority
KR
South Korea
Prior art keywords
terminal
private
address
management server
network
Prior art date
Application number
KR1020120094074A
Other languages
English (en)
Other versions
KR20140028238A (ko
Inventor
김우태
이세희
한경아
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020120094074A priority Critical patent/KR101960685B1/ko
Publication of KR20140028238A publication Critical patent/KR20140028238A/ko
Application granted granted Critical
Publication of KR101960685B1 publication Critical patent/KR101960685B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2823Reporting information sensed by appliance or service execution status of appliance services in a home automation network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network
    • H04L12/2834Switching of information between an external network and a home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks

Abstract

본 발명은 일반 공인 네트워크와 논리적으로 분리된, 홈 단말(M2M 디바이스, 게이트웨이 등)과 네트워크 도메인의 M2M(Machine to Machine, 사물지능통신) 서비스 제공자의 관리 서버 간에 별도의 논리적인 가상 점대점 네트워크(Virtual P2P Network)를 구성함으로써, 공인 네트워크를 통해 홈 단말이나 관리서버에 접근이 원천적으로 차단되는 네트워크 보안성을 강화한 홈 시큐리티 방법 및 시스템에 관한 것이다.

Description

네트워크 보안성을 강화한 홈 시큐리티 방법 및 시스템{Home Security Method and System for Enhancing Network Security}
본 발명은 홈 시큐리티 방법 및p가서 시스템에 관한 것으로서, 특히, 일반 공인 네트워크와 논리적으로 분리된, 홈 단말(M2M 디바이스, 게이트웨이 등)과 네트워크 도메인의 M2M(Machine to Machine, 사물지능통신) 서비스 제공자의 관리 서버 간에 별도의 논리적인 가상 점대점 네트워크(Virtual P2P Network)를 구성함으로써, 공인 네트워크를 통해 홈 단말이나 관리서버에 접근이 원천적으로 차단되는 네트워크 보안성을 강화한 홈 시큐리티 방법 및 시스템에 관한 것이다.
IP-CCTV, 홈 모니터링/시큐리티 기술 분야에서, M2M 시장은 전 세계적으로 지속적으로 성장되고 있으며, 그 적용범위 또한 기존의 산업/기업시장 위주에서 소비자들이 직접 사용하고 느낄 수 있는 Consumer 시장으로 확대될 것으로 예측되고 있다. Consumer 시장의 주요 타켓인 스마트 홈에서 모니터링/시큐리티와 관련된 영상 보안 전송 기술에 대한 연구가 진행되고 있다.
네트워크 기반의 영상 감시시스템 보안 기술 분야에서도, 네트워크 기반 영상 감시시스템 보안 취약성이 심각하며, 쓰레기 불법투기 단속, ITS(Intelligent Transport System), 방범, 불법 주/정차 단속 등을 위한 시스템이 필수 시스템화 되어가고 있으나 이에 대한 상대적으로 지침과 기준 없이 무분별한 도입으로 인해 허술한 보안 관리가 쟁점으로 이슈가 되고 있다.
이와 같은 IP-CCTV, 홈 모니터링/시큐리티 기술 분야나 네트워크 기반의 영상 감시시스템 기술 분야 등에서, 종래의 영상 보안 전송 기술은, 도 1과 같이, IP-CCTV 카메라, 홈 모니터링/시큐리티를 위한 카메라나 각종 센서 디바이스 등 M2M 단말이나, 게이트웨이, 네트워크 상의 응용/서비스 서버 등은 공인 IP(Internet Protocol) 주소를 할당 받음으로 인해 외부 공인 네트워크에 항시 노출되어 보안상 취약한 문제가 있다. 즉, Access/Core Network 관점에서 M2M 단말이나 게이트웨이 역시 인터넷 사용을 위한 일반적인 범용 단말(PC 등)과 동일하게 End-to-End 공인 IP 네트워크 경로를 통하여 서비스가 제공되고 있으며, 이로 인해 M2M 단말이나 게이트웨이는 Data hijacking 및 DDoS 공격 등에 항상 노출이 되어 있어 서비스 제공의 신뢰도 저하가 야기되고 있는 실정이다. 네트워크 상의 응용/서비스 서버 역시 인가되지 않은 M2M 단말의 구분이 어려워 서비스 등록 절차에 따른 해킹 공격에 취약한 실정이다.
이와 같은 보안의 취약으로 개인정보가 노출되고 이에 따라 위와 같은 홈 모니터링/시큐리티 분야에서 영상 정보나 센싱 정보 등이 유출되어 개인의 재산이나 생명과 직결된 심각한 결과를 초래할 수 있으며, 이러한 이슈사항을 해결하기 위해 M2M 단말에 보안 모듈 장착 등에 따른 단말 비용 상승이나 장애 포인트가 증가되는 역효과가 발생할 수 있다. 무인경비 사업자의 경우, 보안 등이 특히 중요한 경우에는 별도의 전용회선을 이용하여 서비스를 제공하는 경우도 있을 수 있지만, 기 구축된 인터넷 설비를 이용하지 못하는 비용 증가의 문제가 있다.
이외에도 네트워크 보안 기능 제공을 위해 인터넷 서비스 제공자(ISP) 관점에서 M2M 단말 또는 게이트웨이에서 인터넷 서비스 제공자 구간까지 터널링(tunneling)으로 구성하는 방식에 대한 기술이 제안되고 있지만, M2M 단말이나 게이트웨이 운용자 관점에서 이러한 터널링 제공 방식의 실시 가능성이 희박하다. M2M 단말이나 게이트웨이가 터널링 시작 포인트로 동작하는 경우, 도 2와 같이 터널링 종단 포인트에서는 해당 단말 개수만큼 논리적인 터널링 인터페이스가 생성되어야 하는데, 네트워크 장비 또는 서버 시스템에 성능 등의 제약 사항으로 인해 단말이나 게이트웨이 수량에 매핑된 논리적인 터널링 인터페이스를 생성하기는 어렵기 때문이다.
따라서, 본 발명은 상술한 문제점을 해결하기 위한 것으로서, 본 발명의 목적은, 유동 사설 IP주소가 할당되는 홈 단말(M2M 디바이스, 게이트웨이 등)과 고정 사설 IP주소가 설정된 네트워크 도메인의 M2M 서비스 제공자의 관리 서버 간에, 기존 공인 네트워크에서 외부와 차단되는 상시 접속 상태의(always on) 전용회선과 유사한 별도의 논리적인 가상 점대점 네트워크(Virtual P2P Network)를 구성함으로써, 홈 단말의 수량과 관계없이 1개의 논리적인 터널링 인터페이스를 통해 홈 단말과 관리 서버 간에 End-to-End 서비스를 제공하고, 일반 공인 네트워크와의 논리적인 분리에 따라 공인 네트워크를 통해 홈 단말이나 관리서버에 접근이 원천적으로 차단되는 네트워크 보안성을 강화한 홈 시큐리티 방법 및 시스템을 제공하는 데 있다.
먼저, 본 발명의 특징을 요약하면, 본 발명의 일면에 따른 하나 이상의 감시 구역 단말과 연결된 코어 네트워크 상의 관리서버 간 데이터 전달의 보안을 위한 시큐리티 방법에 있어서, 상기 감시 구역 단말로부터의 액세스 네트워크를 통한 요청에 따라 상기 코어 네트워크 상의 IP 주소 할당 시스템에서 상기 감시 구역 단말에 유동 사설 IP 주소를 할당하는 단계; 및 상기 액세스 네트워크를 위한 네트워크 장비에서, 상기 유동 사설 IP 주소가 발송지이고 상기 관리서버에 대한 고정 사설 IP 주소가 목적지인 상기 감시 구역 단말로부터 전송된 패킷을, 터널링 방식에 따라 상기 관리서버로 전송하는 단계를 포함한다.
상기 전송하는 단계에서, 상기 감시 구역 단말의 수량과 관계없이 복수의 상기 감시 구역 단말로부터의 패킷을 코어 네트워크 상에서 모두1개의 논리적인 터널링 인터페이스를 통해 논리적인 가상 점대점 방식에 따라 상기 관리서버로 전송하는 것을 특징으로 한다.
일반적인 공인 IP 주소를 할당받는 상기 액세스 네트워크 또는 상기 코어 네트워크 상의 단말은 상기 감시 구역 단말과 상기 관리 서버에 접속이 차단되며, 상기 감시 구역 단말과 상기 관리서버 간에만 상기 터널링을 통하여 접속이 허용된다.
상기 유동 사설 IP 주소가 할당되면, 상기 네트워크 장비에서 해당 감시 구역 단말과 상기 관리서버 간의 서비스를 위한 해당 터널을 설정하여 설정된 각 터널에 대하여 감시 구역 단말의 유동 사설 IP 주소와 해당 관리서버에 대한 고정 사설 IP 주소 및 터널 타입을 포함하는 터널 정보를 ACL(Access Control List)로서 데이터베이스에 관리하고, 상기 감시 구역 단말로부터 전송된 패킷을 상기 관리서버로 전송 시 상기 데이터베이스를 참조하여 해당 터널링 방식으로 전송할 수 있다.
상기 감시 구역 단말은 설치되는 구역의 영상 촬영을 위한 적어도 하나 이상의 카메라, 또는 주변 환경에 대한 감지 신호를 발생하는 적어도 하나 이상의 센서를 포함하는 M2M 단말일 수 있으며, 또한, 상기 감시 구역 단말은, 설치되는 구역에서 특정 목적의 데이터를 발생하는 디바이스와 유무선 통신하는 게이트웨이를 포함하는 M2M 단말일 수도 있다.
그리고, 본 발명의 다른 일면에 따른, 시큐리티 시스템은, 코어 네트워크 상의 IP 주소 할당 시스템; 및 하나 이상의 감시 구역 단말과 상기 코어 네트워크 사이를 연결하는 액세스 네트워크를 위한 네트워크 장비를 포함하고, 상기 코어 네트워크 상의 관리서버에서 상기 감시 구역 단말로부터 데이터를 수집하기 위하여, 상기 IP 주소 할당 시스템은, 상기 감시 구역 단말의 요청에 따라 상기 감시 구역 단말에 유동 사설 IP 주소를 할당하고, 상기 네트워크 장비는, 상기 유동 사설 IP 주소가 발송지이고 상기 관리서버에 대한 고정 사설 IP 주소가 목적지인 상기 감시 구역 단말로부터 전송된 패킷을, 터널링 방식에 따라 상기 관리서버로 전송하는 것을 특징으로 한다.
본 발명에 따른 네트워크 보안성을 강화한 홈 시큐리티 방법 및 시스템에 따르면, 홈 단말(M2M 디바이스, 게이트웨이 등)과 네트워크 도메인의 M2M 서비스 제공자의 관리 서버 간에 별도의 논리적인 가상 점대점 네트워크(Virtual P2P Network)를 구성하여 홈 단말의 수량과 관계없이 1개의 논리적인 터널링 인터페이스를 통해 홈 단말과 관리 서버 간에 End-to-End 서비스를 제공함으로써, 지정된 관리 서버만이 홈 단말에 접근할 수 있고, 인가된 홈 단말만이 관리 서버에 접근이 허용되고 외부의 공인 네트워크를 통해 홈 단말이나 관리서버에 접근이 원천적으로 차단되어 보안성을 높일 수 있다.
또한, 인터넷 접속이 필요하지 않은 보안, 제어 등 특수용도의 홈 단말(M2M 디바이스, 게이트웨이 등)에 유동 사설 IP주소를 할당함으로써, 최근 M2M 시장이 기업에서 소비자 사용 패턴으로 진화됨에 따른 많은 공인 IP주소의 소요가 예상되는 환경에서, 이와 같이 사설 네트워크 전환을 통해 불필요한 공인 IP주소의 낭비를 방지할 수 있다.
또한, 홈 단말(M2M 디바이스, 게이트웨이 등)과 네트워크 도메인의 M2M 서비스 제공자의 관리 서버 간에 논리적인 가상 점대점 네트워크(Virtual P2P Network)를 구성하여 논리적인 터널링 인터페이스를 통해 홈 단말과 관리 서버 간에 보안성이 강화된 End-to-End 서비스를 제공함으로써, 홈 단말에 별도 보안모듈을 장착할 필요가 없어서 단말 비용이 상승되지 않으며 장애 포인트가 감소될 수 있다.
또한, 코어 네트워크에서 사설 네트워크 유통을 위한 논리적 1개의 터널링 구성을 통해 다수의 홈 단말에 대해 보안성을 제공할 수 있으며, 홈 단말 또는 게이트웨이 운용자 관점에서 터널링 구성 방식의 제약사항 및 실시 제약사항이 해소될 수 있다.
또한, 사설 보안 네트워크 구성을 위한 별도 인프라 시설 투자 발생 없이, 공인 네트워크 인프라를 통해 전용회선과 같이 논리적인 점대점 사설 네트워크를 구성할 수 있고, 사설 보안 네트워크 운용을 통해 신규 수익 창출 인프라를 확보할 수 있다.
도 1은 종래의 영상 보안 전송 기술을 설명하기 위한 도면이다.
도 2는 종래 기술에 따른 M2M 단말에서 인터넷 서비스 제공자 구간까지의 터널링 방식에서의 터널링 인터페이스의 복잡도를 설명하기 위한 도면이다.
도 3은 본 발명의 일실시예에 따른 네트워크 보안성을 강화한 홈 시큐리티 시스템을 설명하기 위한 도면이다.
도 4는 도 3에서 홈 단말과 M2M 서비스 제공자의 관리 서버 간에 논리적인 가상 점대점 네트워크(Virtual P2P Network)를 통한 1개의 논리적인 터널링 인터페이스를 설명하기 위한 도면이다.
도 5는 본 발명의 일실시예에 따른 네트워크 보안성을 강화한 홈 시큐리티 시스템의 동작 설명을 위한 흐름도이다.
이하 첨부 도면들 및 첨부 도면들에 기재된 내용들을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명하지만, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다.
도 3은 본 발명의 일실시예에 따른 네트워크 보안성을 강화한 홈 시큐리티 시스템(100)을 설명하기 위한 도면이다.
도 3을 참조하면, 본 발명의 일실시예에 따른 홈 시큐리티 시스템(100)은, 감시 구역(예, 홈(home))에 설치되는 하나 이상의 감시 구역 단말인 홈 단말(110), 인터넷 단말(120), 액세스 네트워크(access network)를 위한 네트워크 장비(130), 코어 네트워크(core network) 상에 IP 주소 할당 시스템(140)과 M2M 서비스 제공자의 관리 서버(150)를 포함할 수 있다.
여기서 홈 단말(110)은 홈(home) 내의 모니터링/시큐리티를 위해 설치되는 단말(또는 디바이스)로서, M2M 단말일 수 있고, 설치되는 감시 구역의 영상 촬영을 위한 적어도 하나 이상의 카메라(예, CCTV 카메라), 또는 주변 환경(예, 온도, 습도, 강우, 침입자 등)에 대한 감지 신호를 발생하는 적어도 하나 이상의 센서 등 설치되는 구역에서 특정 목적의 데이터를 발생하는 모든 디바이스를 포함할 수 있다. 이와 같이 이하 감시 구역이 홈 내인 것으로 예를 들어 설명하지만, 이에 한정되는 것은 아니며, 감시 구역은 쓰레기 불법투기 지역, 방범 지역, 불법 주/정차 단속 지역 등 모니터링/시큐리티가 필요한 모든 지역일 수 있다. 또한, 감시 구역에는 위와 같은 특정 목적의 데이터를 발생하는 디바이스(카메라, 센서 등)와 유무선 통신(예, 시리얼 통신, 근거리 무선 통신(지그비, 블루투스, NFC(Near Field Communication) 등)하는 게이트웨이 등이 M2M 단말로서 포함될 수 있다.
인터넷 단말(120)은 인터넷(액세스 네트워크, 코어 네트워크) 상에서 일반적인 공인 IP 주소를 할당받아 인터넷 서비스를 이용하는 단말로서, 데스크탑 PC, 노트북 PC, 스마트폰, 태플릿 PC, PDA(Personal Digital Assistant) 등 유무선 통신 방식으로 인터넷에 접속할 수 있는 모든 단말을 포함할 수 있다.
이와 같은 감시 구역 단말, 즉, 홈 단말(110)이나 인터넷 단말(120)은 액세스 네트워크(access network)를 위한 네트워크 장비(130)를 통해 코어 네트워크(core network)에 연결될 수 있으며 코어 네트워크(core network) 상의 IP 주소 할당 시스템(140)과 M2M 서비스 제공자의 관리 서버(150)와 통신할 수 있다.
특히, 본 발명에서는 IP 주소 할당 시스템(140)은 홈 단말(110)의 요청에 따라 홈 단말(110)에 유동 사설 IP 주소를 할당할 수 있고, 이에 따라 네트워크 장비(130)는, 상기 유동 사설 IP 주소가 발송지이고 관리서버(150)에 대한 고정 사설 IP 주소가 목적지인 홈 단말(110)로부터 전송된 패킷(packet)을, 터널링(tunneling) 방식에 따라 관리서버(150)로 전송함으로써, 공인 IP 주소를 할당받는 액세스 네트워크 또는 코어 네트워크 상의 인터넷 단말(120)의 홈 단말(110) 또는 관리서버(150)로의 접근이 원천적으로 차단되어 보안성을 높이면서, 관리서버(150)가 홈 단말(110)로부터 데이터(카메라, 센서 정보 등 감시를 위한 데이터 등)를 수집할 수 있도록 하였다. 이에 따라 도 4와 같이, 네트워크 장비(130)는 감시 구역의 홈 단말(110)의 수량과 관계없이 복수(예, 30000개)의 홈 단말(110)로부터의 각 패킷을, 코어 네트워크 상에서 모두1개의 논리적인 터널링 인터페이스를 통해 논리적인 가상 점대점(Virtual P2P Network) 네트워크 방식에 따라 터널 종단 포인트인 관리서버(150)로 전송할 수 있게 된다. 즉, 논리적인 터널링 인터페이스가 터널 시작 포인트인 네트워크 장비(130)의 에지 라우터(edge router)(132)와 터널 종단 포인트인 관리서버(150) 사이에 1개로 구성되며, 감시 구역의 홈 단말(110)의 수량이 복수개로 증가하여도 터널링 인터페이스는 증가되지 않는다.
이를 위하여 액세스 네트워크(access network)를 위한 네트워크 장비(130)의 L3 스위치(131)는 홈 단말(110)로부터의 트래픽에 대한 로드 밸런싱(load balancing)을 수행하여 트래픽을 복수의 에지 라우터(132)에 분배할 수 있으며, 트래픽을 분배받은 해당 에지 라우터(132)는 인가된 홈 단말(110)에만 터널링 인터페이스를 통한 서비스를 제공할 수 있도록 터널 정보를 ACL(Access Control List)로서 데이터베이스에 관리하고 이를 참조하여 라우팅할 수 있다. 예를 들어, 위와 같이 홈 단말(110)에 유동 사설 IP 주소가 할당되면, 에지 라우터(132)는 감시 구역의 홈 단말(110)과 관리서버(150) 간의 서비스를 위해 해당 터널링 인터페이스를 위한 터널을 설정하여 설정된 감시 지역 마다의 각 터널에 대하여 해당 감시 구역의 홈 단말의 유동 사설 IP 주소와 해당 관리서버에 대한 고정 사설 IP 주소 및 터널 타입 등을 데이터베이스에 저장 관리할 수 있다. 관리서버(150)에 대한 고정 사설 IP 주소는 홈 단말(110)의 IP 주소 할당 요청에 포함될 수 있고, 터널 타입은 PPTP(Point to Point Tunneling Protocol), L2F(Layer 2 Forwarding Protocol), VTP(Virtual Tunneling Protocol), IPSec(IP Security Protocol) 등 다양한 방식이 사용될 수 있다.
또한, 홈 단말(110)의 IP 주소 할당 요청에는 DHCP(Dynamic Host Configuration Protocol)에 따른 option 60(vendor class identifier) 또는 option 77(user class identifier) 필드에 단말 식별자(예, M2M_PV_xxxx)가 포함될 수 있으며, 이에 따라 IP 주소 할당 시스템(140)은 DHCP의 option 60 또는 77 필드의 해당 식별자를 통하여 특정 서비스 또는 정책이 포함된 것으로 판단하고, 감시 지역 마다의 각 홈 단말(110)에 대하여 대응되는 IP주소 대역을 매핑시켜 해당 홈 단말(110)에 유동 사설 IP 주소를 할당할 수 있다. IP 주소 할당 시스템(140)은 인터넷(액세스 네트워크, 코어 네트워크) 상의 인터넷 단말(120)로부터의 이와 같은 특정 서비스 또는 정책이 포함되지 않는 IP 주소 할당 요청에는 일반적인 공인 IP 주소를 할당할 수 있다.
이에 따라 일반적인 공인 IP 주소를 할당받는 액세스 네트워크 또는 코어 네트워크 상의 인터넷 단말(120)은 감시 구역의 홈 단말(110)과 관리 서버(150)에 접속이 원천적으로 차단되며, 인가된 홈 단말(110)과 관리서버(150) 간에만 터널링 인터페이스를 통하여 접속이 허용되도록 함으로써, 보안성을 높일 수 있다.
또한, 이와 같은 본 발명에 따라, 관리서버(150) 외에 인터넷 접속이 필요하지 않은 보안, 제어 등 특수용도의 홈 단말(110)에 유동 사설 IP주소를 할당함으로써, 최근 M2M 시장이 기업에서 소비자 사용 패턴으로 진화됨에 따른 많은 공인 IP주소의 소요가 예상되는 환경에서, 이와 같이 사설 네트워크 전환을 통해 불필요한 공인 IP주소의 낭비를 방지할 수 있다. 또한, 홈 단말(110)과 네트워크 도메인의 M2M 서비스 제공자의 관리 서버(150) 간에 논리적인 가상 점대점 네트워크(Virtual P2P Network)를 구성하여 논리적인 터널링 인터페이스를 통해 홈 단말(110)과 관리 서버(150) 간에 보안성이 강화된 End-to-End 서비스를 제공함으로써, 홈 단말에 별도 보안모듈을 장착할 필요가 없어서 단말 비용이 상승되지 않으며 장애 포인트가 감소될 수 있다. 또한, 코어 네트워크에서 사설 네트워크 유통을 위한 논리적 1개의 터널링 구성을 통해 다수의 홈 단말(110)에 대해 보안성을 제공할 수 있으며, 디바이스, 게이트웨이 등 홈 단말(110) 운용자 관점에서 터널링 구성 방식의 제약사항 및 실시 제약사항이 해소될 수 있다. 또한, 사설 보안 네트워크 구성을 위한 별도 인프라 시설 투자 발생 없이, 공인 네트워크 인프라를 통해 전용회선과 같이 논리적인 점대점 사설 네트워크를 구성할 수 있고, 사설 보안 네트워크 운용을 통해 신규 수익 창출 인프라를 확보할 수 있다.
이하 도 5의 흐름도를 참조하여 본 발명의 일실시예에 따른 시큐리티 시스템(100)의 동작을 좀 더 자세히 설명한다.
먼저, 감시 지역에 설치되는 위와 같은 홈 단말(110)과 M2M 서비스 제공자의 관리서버(150) 간의 통신을 통하여, 관리서버(150)에서 홈 단말(110)로부터 데이터(카메라, 센서 정보 등 감시를 위한 데이터 등)를 수집하고 모니터링하기 위한 서비스를 제공하기 위하여, 관리서버(150)에는 고정 사설 IP 주소가 설정되며, 홈 단말(110)에도 해당 관리서버(150)에 대한 고정 사설 IP 주소가 패킷 전송시의 목적지로서 설정될 수 있다.
서비스 설정을 위하여 M2M 서비스 제공자 등은 감시 지역에 설치된 홈 단말(110)을 작동하여 홈 단말(110)이 IP 주소 할당을 요청하도록 할 수 있다(S10). 홈 단말(110)의 IP 주소 할당 요청 (메시지)에는 DHCP(Dynamic Host Configuration Protocol)에 따른 option 60(vendor class identifier) 또는 option 77(user class identifier) 필드에 단말 식별자(예, M2M_PV_xxxx)가 포함될 수 있으며, 또한, 관리서버(150)에 대한 고정 사설 IP 주소도 홈 단말(110)의 IP 주소 할당 요청에 포함될 수 있다.
이에 따라 IP 주소 할당 시스템(140)은 IP 주소 할당 요청의 DHCP의 option 60 또는 77 필드의 해당 식별자를 통하여 특정 서비스 또는 정책이 포함된 것으로 판단하고, 해당 홈 단말(110)에 대하여 대응되는 IP주소 대역을 매핑시켜 해당 홈 단말(110)에 유동 사설 IP 주소를 할당하여(S11), 할당된 유동 사설 IP 주소를 해당 홈 단말(110)에 통보하여 임대할 수 있다(S12). IP 주소 할당 시스템(140)은 데이터베이스에 감시 지역별 할당할 사설 IP 주소 대역을 관리할 수 있으며, 이를 참조하여 각 지역의 홈 단말(110)에 대하여 대응되는 IP주소 대역을 유동적으로 매핑시켜 해당 홈 단말(110)에 유동 사설 IP 주소를 할당할 수 있다. IP 주소 할당 시스템(140)은 인터넷(액세스 네트워크, 코어 네트워크) 상의 인터넷 단말(120)로부터의 이와 같은 특정 서비스 또는 정책이 포함되지 않는 IP 주소 할당 요청에는 데이터베이스에 관리되는 소정의 지역별 공인IP 주소 대역을 참조하여 일반적인 공인 IP 주소를 할당할 수 있다.
이와 같이 홈 단말(110)에 유동 사설 IP 주소가 할당되면, 네트워크 장비(130)의 에지 라우터(132)는 인가된 홈 단말(110)에만 관리서버(150)와의 터널링 인터페이스를 통한 서비스를 제공할 수 있도록 터널을 설정한다(S20). 에지 라우터(132)는 터널링 인터페이스를 통한 서비스를 위한 터널 정보를 관리하는 데이터베이스를 포함할 수 있다. 예를 들어, 터널 정보로서 감시 지역 마다의 각 터널에 대하여 해당 감시 구역의 홈 단말의 유동 사설 IP 주소와 해당 관리서버에 대한 고정 사설 IP 주소 및 터널 타입(예, PPTP, L2F, VTP, IPSec 등) 등을 포함하는 ACL(Access Control List)을 데이터베이스에 저장 관리할 수 있다.
이후 위와 같이 설정된 터널을 통하여 관리서버(150)가 홈 단말(110)로부터 데이터를 수집하는 서비스를 위해, 소정의 Service Bootstrap 정책에 따라 홈 단말(110)과 필요한 신호(예, 제어신호, 설정 신호 등)를 주고 받을 수 있다(S30).
이후 홈 단말(110)은 카메라 촬영 정보, 센서 정보 등 감시를 위한 목적 등의 데이터를 생성하고, 해당 데이터와 함께, 위와 같이 할당받은 유동 사설 IP 주소를 발송지로하고, 관리서버(150)에 대한 고정 사설 IP 주소가 목적지인, 패킷(packet)을 생성하여 전송한다(S40).
홈 단말(110)이 전송하는 패킷은 네트워크 장비(130)의 L3 스위치(131)로 전송되고, L3 스위치(131)의 분배에 따라 에지 라우터(132)는 터널 정보를 저장한 데이터베이스를 참조하여 인가된 단말로부터의 패킷인지 여부등을 체크하여 라우팅할 수 있다(S41). 에지 라우터(132)는 데이터베이스를 참조하여 인가된 단말로부터의 패킷인 경우에, 데이터베이스에서 참조된 터널 타입에 따른 프로토콜에 따라 해당 패킷에 해당 관리서버(150)에 대한 목적지인 고정 사설 IP 주소 등을 헤더(header)로 첨부하여 캡슐화하고, 캡슐화된 패킷을 해당 터널 타입에 따른 새로운 전송 프로토콜에 따라 코어 네트워크를 통해 터널링 방식으로 관리서버(150)로 전송할 수 있다(S42). 이에 따라 도 4와 같이, 네트워크 장비(130)는 감시 구역의 홈 단말(110)의 수량과 관계없이 복수(예, 30000개)의 홈 단말(110)로부터의 각 패킷을, 코어 네트워크 상에서 모두1개의 논리적인 터널링 인터페이스를 통해 논리적인 가상 점대점(Virtual P2P Network) 네트워크 방식에 따라 터널 종단 포인트인 관리서버(150)로 전송할 수 있게 된다. 즉, 논리적인 터널링 인터페이스가 터널 시작 포인트인 네트워크 장비(130)의 에지 라우터(edge router)(132)와 터널 종단 포인트인 관리서버(150) 사이에 1개로 구성되며, 감시 구역의 홈 단말(110)의 수량이 복수개로 증가하여도 터널링 인터페이스는 증가되지 않는다.
이와 같이 네트워크 장비(130)와 관리서버(150) 사이에 설정된 고유한 터널을 통하여 논리적인 가상 점대점(Virtual P2P Network) 네트워크 방식으로 홈 단말(110)의 패킷을 관리서버(150)로 전송함에 따라, 관리서버(150)는 홈 단말(110)로부터 데이터(카메라, 센서 정보 등 감시를 위한 데이터 등)를 보안성을 높여 수집할 수 있게 된다.
네트워크 장비(130)에서 관리하는 사설 IP 주소를 통해서만 홈 단말(110)과 관리서버(150) 간의 통신 상의 인가여부가 확인되어 홈 단말(110)과 관리서버(150) 간에만 위와 같은 터널링으로 접속이 허용되고, 일반 공인 IP 주소를 할당받는 액세스 네트워크 또는 코어 네트워크 상의 인터넷 단말(120)은 네트워크 상에서 동적 라우팅 프로토콜(OSPF, BGP 등)에 따른 라우팅에 의해 통신하므로 사설 IP 주소를 갖는 홈 단말(110) 또는 관리서버(150)로의 접근이 원천적으로 차단되어 보안성을 높일 수 있다. OSPF: Open Shortest Path First, BGP: Border Gateway Protocol.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100: 홈 시큐리티 시스템
110: 감시 구역 단말, 홈 단말
120: 인터넷 단말
130: 네트워크 장비
140: IP 주소 할당 시스템
150: M2M 서비스 제공자의 관리 서버

Claims (7)

  1. 하나 이상의 감시 구역 단말과 연결된 코어 네트워크 상의 관리서버 간 데이터 전달의 보안을 위한 시큐리티 방법에 있어서,
    상기 감시 구역 단말로부터의 액세스 네트워크를 통한 요청에 따라 상기 코어 네트워크 상의 IP 주소 할당 시스템에서 상기 감시 구역 단말에 유동 사설 IP 주소를 할당하는 단계; 및
    상기 액세스 네트워크를 위한 네트워크 장비에서, 상기 감시 구역 단말의 유동 사설 IP 주소와 상기 관리서버에 대한 고정 사설 IP 주소 및 터널 타입을 포함하는 터널 정보를 저장한 데이터베이스를 참조하여, 상기 유동 사설 IP 주소가 발송지이고 상기 관리서버에 대한 고정 사설 IP 주소가 목적지인 상기 감시 구역 단말로부터 전송된 패킷을, 터널링 방식에 따라 상기 관리서버로 전송하는 단계
    를 포함하는 것을 특징으로 하는 시큐리티 방법.
  2. 제1항에 있어서,
    상기 전송하는 단계에서,
    상기 감시 구역 단말의 수량과 관계없이 복수의 상기 감시 구역 단말로부터의 패킷을 코어 네트워크 상에서 모두1개의 논리적인 터널링 인터페이스를 통해 논리적인 가상 점대점 방식에 따라 상기 관리서버로 전송하는 것을 특징으로 하는 시큐리티 방법.
  3. 제1항에 있어서,
    일반적인 공인 IP 주소를 할당받는 상기 액세스 네트워크 또는 상기 코어 네트워크 상의 단말은 상기 감시 구역 단말과 상기 관리 서버에 접속이 차단되며, 상기 감시 구역 단말과 상기 관리서버 간에만 상기 터널링을 통하여 접속이 허용되는 것을 특징으로 하는 시큐리티 방법.
  4. 제1항에 있어서,
    상기 유동 사설 IP 주소가 할당되면, 상기 네트워크 장비에서 해당 감시 구역 단말과 상기 관리서버 간의 서비스를 위한 해당 터널을 설정하여 설정된 각 터널에 대하여 감시 구역 단말의 유동 사설 IP 주소와 해당 관리서버에 대한 고정 사설 IP 주소 및 터널 타입을 포함하는 터널 정보를 ACL(Access Control List)로서 데이터베이스에 관리하고, 상기 감시 구역 단말로부터 전송된 패킷을 상기 관리서버로 전송 시 상기 데이터베이스를 참조하여 해당 터널링 방식으로 전송하는 것을 특징으로 하는 시큐리티 방법.
  5. 제1항에 있어서,
    상기 감시 구역 단말은 설치되는 구역의 영상 촬영을 위한 적어도 하나 이상의 카메라, 또는 주변 환경에 대한 감지 신호를 발생하는 적어도 하나 이상의 센서를 포함하는 M2M 단말인 것을 특징으로 하는 시큐리티 방법.
  6. 제1항에 있어서,
    상기 감시 구역 단말은, 설치되는 구역에서 특정 목적의 데이터를 발생하는 디바이스와 유무선 통신하는 게이트웨이를 포함하는 M2M 단말인 것을 특징으로 하는 시큐리티 방법.
  7. 코어 네트워크 상의 IP 주소 할당 시스템; 및 하나 이상의 감시 구역 단말과 상기 코어 네트워크 사이를 연결하는 액세스 네트워크를 위한 네트워크 장비를 포함하고,
    상기 코어 네트워크 상의 관리서버에서 상기 감시 구역 단말로부터 데이터를 수집하기 위하여, 상기 IP 주소 할당 시스템은, 상기 감시 구역 단말의 요청에 따라 상기 감시 구역 단말에 유동 사설 IP 주소를 할당하고,
    상기 네트워크 장비는, 상기 감시 구역 단말의 유동 사설 IP 주소와 상기 관리서버에 대한 고정 사설 IP 주소 및 터널 타입을 포함하는 터널 정보를 저장한 데이터베이스를 참조하여, 상기 유동 사설 IP 주소가 발송지이고 상기 관리서버에 대한 고정 사설 IP 주소가 목적지인 상기 감시 구역 단말로부터 전송된 패킷을, 터널링 방식에 따라 상기 관리서버로 전송하는 것을 특징으로 하는 시큐리티 시스템.
KR1020120094074A 2012-08-28 2012-08-28 네트워크 보안성을 강화한 홈 시큐리티 방법 및 시스템 KR101960685B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120094074A KR101960685B1 (ko) 2012-08-28 2012-08-28 네트워크 보안성을 강화한 홈 시큐리티 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120094074A KR101960685B1 (ko) 2012-08-28 2012-08-28 네트워크 보안성을 강화한 홈 시큐리티 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20140028238A KR20140028238A (ko) 2014-03-10
KR101960685B1 true KR101960685B1 (ko) 2019-03-22

Family

ID=50641700

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120094074A KR101960685B1 (ko) 2012-08-28 2012-08-28 네트워크 보안성을 강화한 홈 시큐리티 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101960685B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10313217B2 (en) 2015-03-13 2019-06-04 Samsung Electronics Co., Ltd. System on chip (SoC) capable of sharing resources with network device and devices having the SoC
US10097529B2 (en) 2015-05-01 2018-10-09 Samsung Electronics Co., Ltd. Semiconductor device for controlling access right to server of internet of things device and method of operating the same
KR102402881B1 (ko) * 2015-06-05 2022-05-27 한화테크윈 주식회사 감시 시스템
KR102340190B1 (ko) * 2015-09-21 2021-12-17 주식회사 엘지유플러스 네트워크 주소 할당을 위한 장치 및 방법
KR20200143752A (ko) 2019-06-07 2020-12-28 (주)솔로몬기술단기술사사무소 초인종과 연계된 스마트폰 통신이 가능한 홈 시큐리티 시스템 및 그 방법
KR102319520B1 (ko) 2019-06-07 2021-10-29 (주)솔로몬기술단기술사사무소 초인종과 연계된 스마트폰 통신이 가능한 홈 시큐리티 시스템 및 그 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4038221B2 (ja) * 2005-12-08 2008-01-23 フリービット株式会社 中継装置及びクライアント機器とサーバとの接続方法
KR20120067923A (ko) * 2010-12-16 2012-06-26 한국전자통신연구원 무선 센서 네트워크 시스템 및 그 통신 방법

Also Published As

Publication number Publication date
KR20140028238A (ko) 2014-03-10

Similar Documents

Publication Publication Date Title
US10764244B1 (en) Systems and methods providing a multi-cloud microservices gateway using a sidecar proxy
KR101960685B1 (ko) 네트워크 보안성을 강화한 홈 시큐리티 방법 및 시스템
US10693788B2 (en) Network validation with dynamic tunneling
ES2831800T3 (es) Una red orquestada impulsada por datos que responde a las condiciones mediante un controlador distribuido ligero
US11032105B2 (en) Method for implementing GRE tunnel, home gateway and aggregation gateway
US10999312B2 (en) Systems and methods for protecting a service mesh from external attacks on exposed software vulnerabilities
US9736111B2 (en) Method and system for the creation, modification and removal of a distributed virtual customer home gateway
CN101827134B (zh) 自动释放为宽带接入网内的用户设备保留的资源
US11777966B2 (en) Systems and methods for causation analysis of network traffic anomalies and security threats
US20130201987A1 (en) Service communication method and system for access network apparatus
CN113016167A (zh) 在网络中使权利跟随终端设备的方法和装置
US20140052860A1 (en) Ip address allocation
US20220337603A1 (en) Autonomous pilicy enforcement point configuration for role based access control
US11102169B2 (en) In-data-plane network policy enforcement using IP addresses
EP3420720A1 (en) Intelligent network switch
US20050198242A1 (en) System and method for detection/interception of IP collision
US10498700B2 (en) Transmitting network traffic in accordance with network traffic rules
US20210119859A1 (en) Topology Agnostic Security Services
US11483290B2 (en) Distribution of stateless security functions
KR102103484B1 (ko) 가상 네트워킹 기술을 이용한 고객사별 인트라넷 서비스 제공 방법 및 그 시스템
KR101331561B1 (ko) 사설 아이피의 할당 및 갱신 방법, 이를 이용한 아이피 공유기
US20240039897A1 (en) Technique for eliminating ingress-proxy in the multi-relay approach for privacy
JP5453941B2 (ja) 通信制御装置
WO2016128039A1 (en) Apparatus and method for managing communication with a local device of a local network
KR20140104145A (ko) ISP 시스템의 QoS 서비스 제공방법,및 QoS 서비스 제공을 위한 ISP시스템의 IP 주소할당 서버

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right