KR102011403B1 - 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시징 보안 제공 방법 및 이를 구현하는 통신 시스템 - Google Patents

비대칭 멀티 모바일 데이터 네트워크에서 동적 메시징 보안 제공 방법 및 이를 구현하는 통신 시스템 Download PDF

Info

Publication number
KR102011403B1
KR102011403B1 KR1020160000585A KR20160000585A KR102011403B1 KR 102011403 B1 KR102011403 B1 KR 102011403B1 KR 1020160000585 A KR1020160000585 A KR 1020160000585A KR 20160000585 A KR20160000585 A KR 20160000585A KR 102011403 B1 KR102011403 B1 KR 102011403B1
Authority
KR
South Korea
Prior art keywords
message
security
keyword
work
data
Prior art date
Application number
KR1020160000585A
Other languages
English (en)
Other versions
KR20170081491A (ko
Inventor
유치훈
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020160000585A priority Critical patent/KR102011403B1/ko
Publication of KR20170081491A publication Critical patent/KR20170081491A/ko
Application granted granted Critical
Publication of KR102011403B1 publication Critical patent/KR102011403B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/07User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
    • H04L51/18Commands or executable codes
    • H04L51/12
    • H04L51/38
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

동적 메시징 보안 제공 방법 및 이를 구현하는 통신 시스템이 제공된다. 여기서, 동적 메시징 보안 제공 방법은 회사 업무 관련 데이터의 송수신 경로를 제공하는 전용망(Private Network), 개인적인 데이터의 송수신 경로를 제공하는 공중망(Public Network), 통화 및 메시지 서비스를 제공하는 IMS망(IMS Network)을 포함하는 규모와 역할이 다른 복수의 네트워크들을 포함하는 비대칭 멀티 모바일 데이터 네트워크의 통신 시스템을 포함하고, 상기 통신 시스템이 상기 전용망에서 송수신되는 패킷으로부터 사용자 별로 업무 유형 데이터를 생성하여 저장하는 단계, 발신 단말로부터 메시지 전송이 요청되면, 상기 메시지에 포함된 데이터가 상기 업무 유형 데이터에 포함되는지 판단하는 단계, 상기 업무 유형 데이터에 포함되면, 상기 메시지에 정해진 보안 처리를 수행하는 단계, 그리고 보안 처리된 메시지를 착신 단말로 전송하는 단계를 포함한다.

Description

비대칭 멀티 모바일 데이터 네트워크에서 동적 메시징 보안 제공 방법 및 이를 구현하는 통신 시스템{METHOD AND COMMUNICATION SYSTEM FOR PROVIDING DYNAMIC MESSAGING SECURITY IN ASYMMETRIC MULTI MOBILE DATA NETWORK}
본 발명은 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시징 보안 제공 방법 및 이를 구현하는 통신 시스템에 관한 것이다.
모바일 네트워크는 3G, LTE(Long Term Evolution) 등으로 빠르게 진화하여왔고, 현재 대부분의 모바일 사용자에게 LTE 네트워크 상에서 다양한 모바일 서비스가 제공되고 있다.
최근에는 모바일 네트워크를 망분리하여 전용 네트워크(Private Network) 형태로 구축하고, 사용자가 접속된 네트워크에 따라 다른 형태로 모바일 액세스 서비스를 제공하는 형태도 등장하였다. 모바일 네트워크를 기업의 본사나 사업장에 구축하여 망분리를 하면 분리된 망 내에서 이루어지는 데이터 이용에 대하여 개인이 사용하는 데이터와 분리 과금하는 것이 가능해지고 물리적인 망분리를 통해 보안 측면에서도 많은 장점을 가지게 된다.
이처럼 모바일 네트워크를 분리하는 형태는 기지국, EPC(Evolved Packet Core), 데이터 네트워크 전체를 분리하여 구축하는 방법이 있다. 혹은 기지국, EPC는 기존의 공중망(Public Network) 설비를 이용하고, 데이터 네트워크만 분리하여 모바일 데이터에 대한 과금 분리 및 보안 강화를 추구하는 방식도 있다. 이러한 방식은 LTE 네트워크 상에서 다수의 패킷 게이트웨이(P-Gateway) 통하여 여러 개의 데이터 네트워크와 연동하는 형태로 구성된다. 상황에 따라서 액세스되는 데이터 네트워크가 다르게 되는 구조로서, 예를들어, 평상시에는 공중(Public) 데이터 네트워크를 사용하다가 회사 내에서는 보안이 강화된 회사의 전용 네트워크(Private Network)를 사용하게 되는 것이다.
그러나 LTE 네트워크는 패킷 데이터 교환만을 정의하고 있으므로 메시징 서비스는 RCS(Rich Communication Service)와 같이 IMS(IP Multimedia Subsystem) 기반의 IP 데이터를 통해 이루어지게 된다. LTE 단말 간에는 IMS를 통한 IM(Instant Message) 형태로 메시징이 이루어지며 기존의 SMS(Short Message Service)/MMS(Multimedia Messaging Service)는 3G 네트워크의 메시지 시스템과 연동하여 메시지 교환이 이루어지게 된다.
IMS 기반 데이터 네트워크는 메시지와 VoLTE(Voice over LTE) 서비스 제공 등을 위하여 사용되며 사용자가 사용하는 모바일 데이터 네트워크와는 별도로 운영되는 경우가 많다. 별도 운영을 통하여 데이터 네트워크가 접속되지 않은 상황에서도 메시지 및 VoLTE 와 같은 서비스를 제공할 수 있으며 데이터 패킷에 대한 제어 및 별도 과금이 가능하게 된다.
이와 같이, 전용망(Private Network), 공중망(Public Network), IMS망(IMS Network)와 같이 규모와 역할이 다른 여러 비대칭적인 모바일 데이터 네트워크를 통해 모바일 서비스가 제공되는 상황에서 일반적인 모바일 서비스는 개인적인 데이터는 공중망을 통해서, 회사 업무는 전용망을 통해서, 메시지와 통화는 IMS망을 통해서 이루어지는 것이 일반적이라 할 수 있다.
기업 등에 전용 LTE 네트워크(Private LTE Network)를 제공하는 경우 네트워크 오퍼레이팅 사업자는 규모와 역할이 다른 여러 비대칭적인 모바일 데이터 네트워크의 구축 및 운영이 필요하게 되고 이러한 상황에서 전용 LTE 네트워크 접속 서비스를 이용하는 기업의 보안 강화가 필요하다. 즉, 망분리를 통해 전용 모바일 네트워크 접속 서비스를 이용하는 기업 입장에서는 업무용 전용망(Private Network)을 통해 전달되는 업무용 데이터는 기업의 비밀과 관련된 주요 보안 대상이므로 이러한 내용이 개인의 메시지 네트워크를 통해 전달되는 상황을 방지하는 것을 원한다.
그러나 개인의 업무 내용이 수시로 변하는 상황에서 공중 데이터 네트워크의 특정 IP를 차단하거나 메시지 네트워크 상의 특정 키워드에 대한 메시지를 차단하는 것은 쉽지 않다.
본 발명이 이루고자 하는 기술적 과제는 역할과 규모가 다른 비대칭적 형태의 데이터 네트워크들로 구성되는 모바일 네트워크 상에서 전용(Private) 소규모의 네트워크 데이터를 대상으로 데이터 심층 패킷 검사(DPI, Deep Packet Inspection)를 수행하여 사용자의 데이터를 추출하고, 추출된 데이터를 분석하여 개인의 업무를 동적으로 분류하며, 해당 업무에서 중요하다고 생각되는 내용에 대하여 메시지 네트워크 상에서 전달되지 않도록 보안 처리함으로써, 전용 데이터 네트워크를 이용하는 기업의 보안을 강화할 수 있는 동적 메시징 보안 제공 방법 및 이를 구현하는 통신 시스템을 제공하는 것이다.
본 발명의 하나의 특징에 따르면, 동적 메시징 보안 제공 방법은 회사 업무 관련 데이터의 송수신 경로를 제공하는 전용망(Private Network), 개인적인 데이터의 송수신 경로를 제공하는 공중망(Public Network), 통화 및 메시지 서비스를 제공하는 아이엠에스망(IP Multimedia Subsystem network, IMS network)을 포함하는 규모와 역할이 다른 복수의 네트워크들을 포함하는 비대칭 멀티 모바일 데이터 네트워크의 통신 시스템을 포함하고, 상기 통신 시스템이 상기 전용망에서 송수신되는 패킷으로부터 사용자 별로 업무 유형 데이터를 생성하여 저장하는 단계, 발신 단말로부터 메시지 전송이 요청되면, 상기 메시지에 포함된 데이터가 상기 업무 유형 데이터에 포함되는지 판단하는 단계, 상기 업무 유형 데이터에 포함되면, 상기 메시지에 정해진 보안 처리를 수행하는 단계, 그리고 보안 처리된 메시지를 착신 단말로 전송하는 단계를 포함한다.
상기 저장하는 단계는,
상기 송수신되는 패킷에 대해 심층 패킷 검사(Deep Packet Inspection, DPI)를 수행하여 업무 관련 사용자 데이터를 추출하는 단계, 상기 사용자 데이터로부터 추출한 키워드를 사전 등록된 업무 그룹 정보와 비교하여 사용자 별로 해당하는 업무 그룹을 동적으로 분류하는 단계, 그리고 분류된 업무 그룹 별로 상기 업무 그룹에 속하는 사용자들 각각에 대해 업무 그룹 정보, 보안 처리가 필요한 중요 보안 키워드 및 보안 처리 적용 기한이 포함된 상기 업무 유형 데이터를 생성하여 저장하는 단계를 포함할 수 있다.
상기 사전 등록된 업무 그룹 정보는,
운영자에 의해 사전 등록된 업무 정보와, 상기 업무 정보에 해당하는 분류 키워드를 포함하고,
상기 분류하는 단계는,
상기 사용자 데이터로부터 정해진 분석 단위 또는 처리 업무 단위로 모든 키워드를 추출하여 각각의 키워드 벡터를 생성하는 단계, 상기 분류 키워드에 포함된 복수의 키워드들에 대한 각각의 키워드 벡터와 상기 사용자 데이터로부터 생성된 각각의 키워드 벡터 간의 유사도를 측정하는 단계, 그리고 측정된 유사도 값이 기 정의된 임계치를 충족하는 분류 키워드에 해당하는 업무를 사용자가 해당하는 업무로 분류하는 단계를 포함할 수 있다.
상기 저장하는 단계를 주기적으로 갱신할 수 있다.
상기 판단하는 단계는,
상기 메시지로부터 키워드를 추출하는 단계, 상기 메시지의 발신자가 속하는 업무 그룹을 확인하는 단계, 그리고 추출된 키워드가 상기 업무 그룹의 중요 보안 키워드에 해당하는지 판단하는 단계를 포함하고,
상기 보안 처리를 수행하는 단계는 상기 중요 보안 키워드에 해당하면, 상기 보안 처리를 수행할 수 있다.
상기 보안 처리를 수행하는 단계는,
상기 발신 단말에게 보안 처리가 필요한 키워드가 포함되어 있음을 알리는 알림 메시지를 전송하는 단계, 그리고 상기 발신 단말이 전송한 메시지에서 상기 키워드에 마스킹(masking) 처리를 하는 단계를 포함하고,
상기 보안 처리된 메시지를 착신 단말로 전송하는 단계는 마스킹 처리된 메시지를 전송할 수 있다.
본 발명의 다른 특징에 따르면, 통신 시스템은 회사 업무 관련 데이터의 송수신 경로를 제공하는 전용망(Private Network), 개인적인 데이터의 송수신 경로를 제공하는 공중망(Public Network), 통화 및 메시지 서비스를 제공하는 아이엠에스망(IP Multimedia Subsystem network, IMS network)을 포함하는 규모와 역할이 다른 복수의 네트워크들을 포함하는 비대칭 멀티 모바일 데이터 네트워크의 통신 시스템으로서, 상기 전용망에서 송수신되는 패킷으로부터 업무 관련 사용자 데이터를 추출하여 사전 등록된 업무 그룹 정보와 비교하고, 비교 결과에 따라 사용자 별로 해당하는 업무 그룹을 동적으로 분류하여 사용자 별로 업무 유형 데이터를 생성하는 심층 패킷 검사(Deep Packet Inspection, DPI) 서버, 상기 심층 패킷 검사 서버로부터 상기 업무 유형 데이터를 수신하여 저장하고, 발신 단말이 전송한 메시지에 포함된 데이터가 상기 업무 유형 데이터에 포함되는지 판단한 후 상기 업무 유형 데이터에 포함되면, 상기 메시지에 정해진 보안 처리를 수행하는 보안 처리 서버, 그리고 상기 보안 처리 서버로부터 전달받은 보안 처리된 메시지를 착신 단말로 전달하는 메시지 서버를 포함한다.
상기 심층 패킷 검사 서버는,
운영자에 의해 사전 등록된 업무 정보와, 상기 업무 정보에 해당하는 분류 키워드를 포함하는 사전 등록된 업무 그룹 정보를 저장하는 데이터베이스, 상기 송수신되는 패킷에 대해 심층 패킷 검사(Deep Packet Inspection, DPI)를 수행하여 업무 관련 사용자 데이터를 추출하는 사용자 데이터 추출부, 그리고 상기 사용자 데이터로부터 정해진 분석 단위 또는 처리 업무 단위로 모든 키워드를 추출하여 각각의 키워드 벡터를 생성하고, 상기 분류 키워드에 포함된 복수의 키워드들에 대한 각각의 키워드 벡터와 상기 사용자 데이터로부터 생성된 각각의 키워드 벡터 간의 유사도를 측정하여 측정된 유사도 값이 기 정의된 임계치를 충족하는 분류 키워드에 해당하는 업무 그룹을 사용자가 해당하는 업무 그룹을 분류하며, 분류된 업무 그룹 별로 상기 업무 그룹에 속하는 사용자들 각각에 대한 상기 업무 유형 데이터를 생성하여 상기 보안 처리 서버로 전송하는 동적 분류부를 포함할 수 있다.
상기 업무 유형 데이터는,
업무 그룹 정보, 보안 처리가 필요한 중요 보안 키워드 및 보안 처리 적용 기한을 포함하고,
상기 보안 처리 서버는,
상기 메시지로부터 추출한 키워드가 상기 메시지의 발신자가 속하는 업무 그룹의 중요 보안 키워드에 해당하면, 상기 메시지에 마스킹(masking) 처리를 한 후, 상기 메시지 서버로 전달할 수 있다.
상기 보안 처리 서버의 요청에 따라 상기 발신 단말에게 보안 처리가 필요한 키워드가 포함되어 있음을 알리는 사용자 주의 메시지를 전송하는 메시지 푸시 서버를 더 포함할 수 있다.
본 발명의 실시예에 따르면, 규모와 역할이 다른 여러 비대칭적인 모바일 데이터 네트워크 상에서 기업의 보안 강화를 위하여 동적으로 개인의 업무 내용을 파악하여 공중망의 서버 IP나 메시지 내용을 제어함으로써, 보다 안전한 전용 LTE 네트워크(Private LTE Network) 접속 서비스를 제공할 수 있다.
또한, 인위적으로 구분된 담당 업무가 아닌 동적으로 현재 수행하고 있는 업무를 기준으로 해당 업무 담당자가 주의해야 할 회사 기밀 내용에 대한 보안 절차가 이루어져 효율적이고 실질적인 메시징 보안이 이루어 질 수 있다.
따라서, 기업 등에 전용 LTE 네트워크(Private LTE Network)를 제공하는 경우 기업의 중요 정보가 개인의 데이터 채널이나 메시지 채널을 통해 유출되는 것을 최소화하여 보다 안전한 전용 LTE 네트워크(Private LTE Network) 접속 서비스를 제공할 수 있게 된다.
도 1은 본 발명의 실시예에 따른 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시지 보안을 제공하는 통신 시스템의 구성도이다.
도 2는 본 발명의 실시예에 따른 DPI 서버의 세부 구성을 나타낸 블록도이다.
도 3은 본 발명의 실시예에 따른 업무 그룹 정보 테이블의 구성도이다.
도 4는 본 발명의 한 실시예에 따른 동적 메시지 보안을 제공하는 메시지 전달 네트워크 구성도이다.
도 5는 본 발명의 다른 실시예에 따른 동적 메시지 보안을 제공하는 메시지 전달 네트워크 구성도이다.
도 6은 본 발명의 한 실시예에 따른 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시지 보안 제공 방법을 나타낸 흐름도이다.
도 7은 본 발명의 다른 실시예에 따른 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시지 보안 제공 방법을 나타낸 흐름도이다.
도 8은 본 발명의 또 다른 실시예에 따른 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시지 보안 제공 방법을 나타낸 흐름도이다.
도 9는 본 발명의 실시예에 따른 발신 단말의 동적 메시지 보안 적용 예시도이다.
도 10은 본 발명의 실시예에 따른 착신 단말의 동적 메시지 보안 적용 예시도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.
또한, 명세서에 기재된 "…부", "…모듈" 의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
본 명세서에서 단말(terminal)은, 이동국(Mobile Station, MS), 이동 단말(Mobile Terminal, MT), 가입자국(Subscriber Station, SS), 휴대 가입자국(Portable Subscriber Station, PSS), 사용자 장치(User Equipment, UE), 접근 단말(Access Terminal, AT) 등을 지칭할 수도 있고, 이동 단말, 가입자국, 휴대 가입자 국, 사용자 장치 등의 전부 또는 일부의 기능을 포함할 수도 있다.
본 명세서에서 기지국(Base Station, BS)은 접근점(Access Point, AP), 무선 접근국(Radio Access Station, RAS), 노드B(Node B), 송수신 기지국(Base Transceiver Station, BTS), MMR(Mobile Multihop Relay)-BS 등을 지칭할 수도 있고, 접근점, 무선 접근국, 노드B, 송수신 기지국, MMR-BS 등의 전부 또는 일부의 기능을 포함할 수도 있다.
이하, 도면을 참조로 하여 본 발명의 실시예에 따른 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시징 보안 제공 방법 및 이를 구현하는 통신 시스템에 대하여 상세히 설명한다.
도 1은 본 발명의 실시예에 따른 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시지 보안을 제공하는 통신 시스템의 구성도이고, 도 2는 본 발명의 실시예에 따른 DPI 서버의 세부 구성을 나타낸 블록도이며, 도 3은 본 발명의 실시예에 따른 업무 그룹 정보 테이블의 구성도이다.
도 1을 참조하면, LTE(Long Term Evolution) 네트워크 접속 서비스를 위하여 LTE 단말(101, 103), 각각의 셀(201, 205)을 관장하는 각각의 기지국(203, 207), 모바일 관리 엔티티(Mobile Management Entity, MME)(209), 서빙 게이트웨이(Serving GateWay, S-GW)(211), 서로 다른 복수개의 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, P-GW)(213, 215, 217), 전용망(Private Network)(219), 공중망(Public Network)(221), 아이엠에스망(IP Multimedia Subsystem network, IMS network)(223), 심층 패킷 검사(Deep Packet Inspection, DPI) 서버(300), 보안 처리 서버(400) 및 메시지 푸시 서버(Message Push Server, PNS)(500)를 포함한다.
여기서, 전용망(219)은 특정 소수의 사용자에게 제공되는 데이터망으로서, 소정의 서비스 반경을 가지는 일정 지역에 구축된다. 이때, 전용망(219)은 회사 업무 관련 데이터의 송수신 경로를 제공한다. 여기서, 전용망(219)은 소정의 서비스 반경을 가지는 일정 지역을 커버하는 전용망 기지국(미도시) 또는 전용의 P-GW(미도시)에 의해 관장되고, 기업의 사업장에 구축될 수 있다. Private LTE 네트워크는 보안과 한정된 서비스 범위(네트워크 커버리지) 등의 특성으로 인해 기업 등이 Private LTE를 구축하여 인증된 직원이나 기기들만이 네트워크에 접속되고 서비스를 이용할 수 있다.
공중망(221)은 불특정 다수에게 제공되는 데이터망으로서, 개인적인 데이터의 송수신 경로를 제공한다. IMS망(223)은 통화 및 메시지 서비스를 제공한다.
이처럼, 규모와 역할이 서로 다른 복수의 네트워크(219, 221, 223)는 비대칭 멀티 모바일 데이터 네트워크를 구성한다. 비대칭 멀티 모바일 데이터 네트워크에서는 회사 업무는 전용망(219)을 이용하고, 개인적인 데이터는 공중망(221)을 이용하며, 통화 및 메시지 서비스는 IMS망(223)을 이용한다.
비대칭 멀티 모바일 데이터 네트워크는 기지국 관리 및 기지국간 데이터 연동을 위한 MME(209), 서비스 라우팅을 위한 S-GW(211), 각각의 망 별로 구축된 복수의 P-GW(213, 215, 217)로 구성되어 기본적인 LTE 네트워크 서비스를 제공한다.
이때, P-GW(213, 215, 217)는 용도를 위하여 복수의 P-GW(213, 215, 217)를 통해 비대칭 멀티 모바일 데이터 네트워크를 형성하게 되는데, 복수의 P-GW(213, 215, 217)는 전용망 P-GW(213), 공중망 P-GW(215), IMS P-GW(217)로 구성된다.
여기서, 전용망 P-GW(213)는 기업 고객 등에게 사설 LTE 네트워크(Private LTE Network)(219) 서비스를 제공하기 위하여 사설 네트워크 망 접속을 위해 구축된다. 공중망 P-GW(215)는 사용자가 일반적으로 모바일 네트워크 접속을 사용하는 공중망(221)을 접속하도록 구축된다. IMS P-GW(217)는 RCS(Rich Communication Service) 또는 VoLTE(Voice over LTE) 서비스를 제공하기 위해 사용되는 IMS망(223)에 접속하도록 하기 위해 구축된다.
사용자 단말(UE)(101, 103)은 피쳐폰, 스마트폰, PDA(Personal Digital Assistants) 등 상대방과 통화할 수 있는 단말기에 해당한다. 사용자 단말(UE)(101, 103)은 APN(Access Point Name)을 달리하여 각각의 데이터 네트워크(219, 221, 223)에 접속할 수 있게 된다. 이러한 APN 정보는 사용자 단말(UE)(101, 103)이 가질 수도 있고 LTE 네트워크 상에서 HSS(Home Subscriber Server)(미도시), MME(209)를 통해 사용자 단말(UE)(101, 103)에게 제공할 수도 있다. 일반적으로 안드로이드 OS(Operating System)를 탑재한 사용자 단말(UE)(101, 103)의 경우에는 출시 전에 사용자 단말(UE)(101, 103) 내에 정보가 저장되며, iOS를 탑재한 아이폰의 경우 네트워크 서버에서 저장된 APN 정보를 사용자 단말(UE)(101, 103)의 요청시 제공하게 된다.
지금까지 설명한 LTE 네트워크 상에서 비대칭 멀티 모바일 데이터 네트워크를 구현하기 위해 구성되는 네트워크 엔티티와 함께 본 발명의 실시예에 따른 동적 메시징 보안을 제공하기 위해 DPI 서버(300), 보안 처리 서버(400) 및 메시지 푸시 서버(PNS)(500)가 신규로 추가된다.
DPI 서버(300)는 데이터 패킷을 검사할 수 있는 전문 하드웨어 및/또는 소프트웨어를 포함한다. DPI 서버(300)는 비대칭적 멀티 모바일 데이터 네트워크 상의 여러 네트워크 중 사설(Private)이며 소규모의 네트워크(219)를 대상으로 데이터 심층 패킷 검사(DPI)를 수행하여 사용자의 업무 관련 데이터를 추출한다. 예를 들어, 기업에 Private LTE Network access 서비스 제공시 사업장 내에서는 전용망(219)에 접속하게 되며 업무를 위한 데이터들이 모바일 단말(101, 103)을 통해서 송수신된다. 이러한 패킷을 분석하여 개인이 현재 어떤 업무 또는 프로젝트를 수행하는지를 파악하게 된다. 이러한 업무 유형은 시간에 따라 동적으로 변할 수 있으며 또한 여러 개의 프로젝트를 수행할 수 있기 때문에 일일이 수작업으로 지정하는 것은 비효율적이며 데이터 분석 방법을 통하여 동적으로 관리하는 것이 효율적이다.
공중망(221)의 데이터는 패킷 데이터의 양이 많고 개인정보 이슈 등의 문제로 심층 패킷 분석(DPI)이 현실적으로 쉽지 않지만, 기업의 전용망(219)은 일반적으로 공중망(221)에 비해 소규모이며 업무용 데이터를 다루기 때문에 패킷 심층 분석(DPI)을 수행하는 것이 현실적으로 가능하다. 또한, 패킷 분석시 개인정보 이슈에 대해서 비교적 자유롭다는 점도 이러한 방식의 서비스를 제공하는 데 중요한 점으로 작용할 수 있다.
DPI 서버(300)는 전용망 P-GW(213)와 전용망(219) 사이에 위치하여 전용망(219)에서 송수신되는 패킷으로부터 업무 관련 사용자 데이터를 추출하여 이미 정의되어 있는 업무 그룹 정보와 비교한다. 그리고 사용자가 해당 그룹에 속하는지를 분류한다. 사용자 별로 해당하는 업무 그룹을 동적으로 분류하여 사용자 별로 업무 유형 데이터를 생성한다. 이러한 DPI 서버(300)는 도 2와 같이 구현될 수 있다.
도 2를 참조하면, DPI 서버(300)는 데이터베이스(301), 사용자 데이터 추출부(303) 및 동적 분류부(305)를 포함한다.
데이터베이스(301)는 운영자에 의해 사전 등록된 업무 정보와, 상기 업무 정보에 해당하는 분류 키워드를 포함하는 사전 등록된 업무 그룹 정보를 저장한다. 이러한 업무 그룹 정보는 도 3와 같이 구성될 수 있다.
도 3을 참조하면, 업무 그룹 정보 테이블(309)은 분류 키워드(311), 업무 분류(313), 중요 보안 키워드(315) 및 설정일(317)을 포함한다. 이때, 업무 그룹 정보 테이블(309)은 기업의 담당 관리자가 보안이 필요하다고 생각되는 프로젝트에 대해서 설정한 정보들로 구성된다.
업무 분류(313)는 각 프로젝트나 업무명을 나타내고, 분류 키워드(311)는 프로젝트나 업무명에 관련된 키워드이며, 중요 보안 키워드(315)는 분류 키워드들 중에서도 중요하다고 판단되는 키워드로 설정된다.
다시, 도 2를 참조하면, 사용자 데이터 추출부(303)는 전용망(219)에서 송수신되는 패킷에 대해 심층 패킷 검사(DPI)를 수행하여 업무 관련 사용자 데이터를 추출한다. 전용망(219)에서 기업의 사용자는 모바일 단말(101, 103)을 이용하여 메일 수발신을 하거나 사내 사이트 접속하여 업무를 수행하게 된다. 이때, 메일 단위 별, 또는 사내 업무 사이트를 통한 업무 수행시 업무 페이지 별로 모든 키워드를 추출한다.
동적 분류부(305)는 사용자가 전용망(219)에서 업무를 위해 사용하는 패킷 데이터를 추출하여 키워드를 추출하고, 추출한 키워드와 각 프로젝트 또는 업무별에 해당하는 분류 키워드를 비교한다. 이때, 분류 키워드를 많이 사용하는 경우 확률적인 방법으로 해당 업무 또는 프로젝트를 수행하는 사람이라고 분류하게 된다. 사용자 별로 해당 업무 분류는 여러 개가 될 수 있으며 이는 동적으로 바뀌게 된다.
즉, 동적 분류부(305)는 사용자 데이터 추출부(303)가 사용자 데이터로부터 정해진 분석 단위 또는 처리 업무 단위로 추출한 모든 키워드에 대한 각각의 키워드 벡터를 생성한다. 그리고 분류 키워드에 포함된 복수의 키워드들에 대한 각각의 키워드 벡터와 사용자 데이터로부터 생성된 각각의 키워드 벡터 간의 유사도를 측정한다. 측정된 유사도 값이 기 정의된 임계치를 충족하는 분류 키워드에 해당하는 업무 그룹을 사용자가 해당하는 업무 그룹으로 분류한다. 그리고 분류된 업무 그룹 별로 업무 그룹에 속하는 사용자들 각각에 대한 업무 유형 데이터를 생성하여 보안 처리 서버(400)로 전송한다.
여기서, 업무 유형 데이터는 업무 그룹 정보, 보안 처리가 필요한 중요 보안 키워드 및 보안 처리 적용 기한을 포함하며, 이러한 정보는 도 3의 업무 그룹 정보 테이블(309)로부터 획득된다.
동적 분류부(305)는 도 2의 분류 키워드(311)의 키워드 정보 벡터와 사용자 데이터로부터 생성된 각각의 키워드 벡터의 유사도를 측정하여 유사도가 임계값 이상이면 해당 업무를 수행하고 있는 사람으로 볼 수 있다.
유사도 측정시의 임계값 처리는 일별, 주(week)별로 정규화(normalize)를 통하여 전용망(219)을 통해 사용하는 데이터가 일정 수준 이상의 주요 키워드를 사용하고 있는지를 판별하는 형태로도 가능하다.
여기서, 유사도 측정시 사용되는 수학식은 다음과 같다. 수학식 1은 개인의 업무 그룹 분류를 위한 유사도 수식이다.
Figure 112016000490352-pat00001
여기서, di 벡터는 사용자 데이터를 분석 단위 또는 처리 업무 단위로 모든 키워드를 추출하여 생성한 벡터를 말한다. dj 벡터는 업무 그룹 정보 테이블(309)의 분류 키워드(311)로부터 생성한 벡터이다.
예를 들어, 사용자 데이터로부터 추출한 키워드 벡터와 15년도 신입 사원 채용 관련 분류 키워드 벡터 간의 유사도 측정값이 정해진 임계치를 충족하면, 해당 사용자는 15년도 신입사원 채용 업무를 담당하는 사용자로 분류된다.
동적 분류부(305)는 개인 별로 수행 하는 업무 또는 프로젝트 정보가 추출되면 해당 업무 사용자의 해당 업무에 대해 대외 유출에 주의해야 할 중요 보안 키워드와 주의 기간을 설정한다. 이때, 중요 보안 키워드는 업무 그룹 정보 테이블(309)의 중요 보안 키워드(315)에서 획득되고, 주의 기간은 업무 그룹 정보 테이블(309)의 설정일(317)로부터 획득된다. 획득한 정보를 토대로 동적 분류부(305)는 업무 유형 데이터를 생성한다.
다시, 도 1을 참조하면, 보안 처리 서버(400)는 개인이 수행하고 있는 현재 업무 내용에 따라 보안이 적용되어야 할 IP 주소나 메시지의 키워드에 대하여 보안 처리를 수행하는 서버이다.
보안 처리 서버(400)는 분류된 사용자의 그룹 정보를 바탕으로 또 다른 네트워크인 메시지 네트워크 상에서 전달되는 메시지가 해당 사용자 그룹에서 다루어지는 중요 내용인지를 판단하고, 필요시 사용자가 발신하는 메시지에 대한 적절할 보안 처리를 하거나 사용자에게 보안이 필요한 메시지임을 알리는 주의 메시지를 전송하여 해당 그룹의 사용자가 중요하게 다루어야 할 내용의 메시지에 대하여 보안처리가 이루어질 수 있도록 한다.
즉, 보안 처리 서버(400)는 DPI 서버(300)로부터 사용자 별 업무 유형 데이터를 수신하여 저장한다. 그리고 발신 단말(101, 103)이 전송한 메시지에 포함된 데이터가 업무 유형 데이터에 포함되는지 판단한 후 업무 유형 데이터에 포함되면, 메시지에 정해진 보안 처리를 수행한다. 보안 처리 서버(111)는 메시지 서버(도 4, 도 5의 233)로부터 보안 요청된 메시지에 대하여 업무 유형 데이터에 포함된 주의 기간 동안 중요 보안 키워드에 대한 보안 처리를 수행한다.
보안 처리 서버(400)는 메시지로부터 추출한 키워드가 메시지의 발신자가 속하는 업무 그룹의 중요 보안 키워드에 해당하면, 메시지에 마스킹(masking) 처리를 한 후, 메시지 서버(233)로 전달한다.
또한, 보안 처리 서버(400)는 부가 정보를 공중망 P-GW(215)로 전송할 수 있다. 그러면, 공중망 P-GW(215)는 보안 처리 서버(400)로부터 수신한 부가 정보, 즉, 보안 처리 정보에 따라 사용자 단말(101, 103)로부터 접속 요청된 IP의 접속을 제한하고, 접속이 제한되는 경우, 접속이 불가함을 알리는 주의 메시지를 사용자 단말(101, 103)로 전송할 수 있다.
메시지 푸시 서버(PNS)(500)는 보안 처리 서버(400)를 통해서 메시지가 보안 상 문제가 있다고 판단되면 사용자에게 전송 여부를 묻거나 경고 메시지를 전송하는 등의 역할을 하는 서버이다. 메시지 푸시 서버(PNS)(500)는 보안 처리 서버(400)의 요청에 따라 발신 단말(101, 103)에게 보안 처리가 필요한 키워드가 포함되어 있음을 알리는 사용자 주의 메시지를 전송한다.
도 4는 본 발명의 한 실시예에 따른 동적 메시지 보안을 제공하는 메시지 전달 네트워크 구성도로서, LTE 단말(101, 103) 간에 단문 메시지(SMS) 전송시 동적 메시지 보안 적용을 설명하기 위한 도면이다.
도 4를 참조하면, 발신 LTE 단말(101)에서 SMS 전송시 SMS는 기지국(도 1의 203), 발신측 MME(209-1)를 거쳐 3G망(227)의 발신측 MSC(Mobile Switching Center)(229)로 전달된다. 이때, MME(209-1, 209-3)는 MSC(229, 231)와 SGs인터페이스를 통해 연동된다.
LTE 네트워크(225)에서는 모든 메시지가 패킷 데이터의 형태로 전송되므로 3GPP 표준에 의해 메시지는 IMS망(도 1의 223)을 통해 IM(Instant Message)의 패킷 데이터 형태로 전송된다. RCS(Rich Communication Service)는 IMS망(223)을 통한 통화나 메시지를 제공하는 서비스이다.
그러나 3G망(227)과 LTE망(225)이 공존하는 상황에서 기존 이동통신 망에서 사용되는 SMS의 경우는 망연동을 통해 전송되므로, MME(209-1)와 MSC(229) 간의 연동이 필요하게 된다.
따라서, 발신 LTE 단말(101)에서 전송된 SMS는 발신측 MSC(229)를 거쳐 메시지 서버(233)인 SMSC(SMS Message Service Center)로 전송된다.
메시지 서버(233)는 SMS/MMS와 같은 회선 교환망에서의 메시지에 대한 처리를 담당하는 서버이다. 메시지 서버(233)로 전송된 메시지는 보안 처리 서버(400)에 전달되어 보안 처리된다.
보안 처리 서버(400)는 메시지 서버(233)로부터 수신된 메시지에 포함된 키워드를 추출한다. 그리고 메시지 발신자가 속하는 업무 그룹을 확인한다. 업무 그룹 확인은 발신 LTE 단말(101)의 전화번호를 통해 확인할 수 있으나, 이에 국한되는 것은 아니고, 발신자를 식별할 수 있는 다양한 실시예가 가능하다.
보안 처리 서버(400)는 메시지 서버(233)로부터 수신된 메시지에 포함된 키워드 중에서 주요 키워드에 해당하는 키워드에는 마스킹(Masking) 처리를 한다. 또한, 메시지 푸시 서버(500)에게 요청하여 사용자 단말(101)에게 주의를 요구하는 메시지를 전송하도록 하여 발신을 재확인하도록 한다.
한편, 보안 처리된 메시지는 메시지 서버(233)로 전달된다. 그리고 메시지 서버(233)로부터 3G망(227)의 착신측 MSC(231) 및 LTE 네트워크인 착신측 MME(209-3)를 거쳐 착신 LTE 단말(103)로 전송된다.
도 5는 본 발명의 다른 실시예에 따른 동적 메시지 보안을 제공하는 메시지 전달 네트워크 구성도로서, RCS 서비스 적용 단말과 RCS 서비스 미적용 단말 간에 SMS 전송시 동적 메시지 보안 적용을 설명하기 위한 도면이다.
이때, 착신 LTE 단말(103)이 RCS 서비스가 가능한 단말이다.
도 5를 참조하면, 발신 LTE 단말(101)이 SMS를 전송하면, SMS는 LTE 네트워크(225)의 발신측 MME(209)와 3G망(227)의 발신측 MSC(229)를 거쳐 메시지 서버(233)로 전송된다. 그리고 메시지 서버(233)는 보안 처리 서버(400)로 보안 처리를 요청하고, 보안 처리된 메시지를 수신하여 IP-SM-GW(235)로 전달한다.
RCS 5.2 표준을 기준으로 설명하면, 보안 처리된 메시지(SMS)는 RCS의 IM(Instant Message) 서버(223)를 통하여 기존 메시지와 통합된 후 S-GW(211)를 거쳐 착신 LTE 단말(103)로 전송된다.
도 4, 도 5는 보안 처리된 메시지의 전달 경로를 나타냈으나, 이는 망의 구성의 따라 여러 형태로 전달이 될 수 있다.
이제, 지금까지 설명한 구성을 토대로 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시지 보안을 제공하는 과정에 대해 실시예별로 설명하면 다음과 같다.
도 6은 본 발명의 한 실시예에 따른 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시지 보안 제공 방법을 나타낸 흐름도이다.
도 6을 참조하면, DPI 서버(300)는 전용망(213)에서 송수신되는 패킷을 주기적으로 추출(S101)하여 사용자 별로 업무 유형을 분류한다(S103). 즉, 추출한 데이터를 분석하여 개인 별로 사용자가 현재 어떤 업무를 수행하고 있는지를 인식한다.
DPI 서버(300)는 송수신되는 패킷에 대해 심층 패킷 검사(DPI)를 수행하여 업무 관련 사용자 데이터를 추출한다(S101). 그리고 사용자 데이터로부터 추출한 키워드를 사전 등록된 업무 그룹 정보(도 3의 309)와 비교하여 사용자 별로 해당하는 업무 그룹을 동적으로 분류한다. 그리고 분류된 업무 그룹 별로 업무 그룹에 속하는 사용자들 각각에 대해 업무 그룹 정보, 보안 처리가 필요한 중요 보안 키워드 및 보안 처리 적용 기한이 포함된 업무 유형 데이터를 생성하여 보안 처리 서버(400)로 전달한다(S105). 그러면, 보안 처리 서버(400)는 전달받은 사용자 별 업무 유형 데이터를 저장한다(S107).
여기서, 사용자 업무 유형 데이터는 해당 업무에 따라 개인 별로 현재 어떠한 업무를 주로 하고 있으며, 해당 업무 담당자가 외부와 커뮤니케이션 하기 위해서는 주의해야 할 주요 키워드 정보를 포함한다. 이러한 과정(S101 ~ S105)은 일정한 기간에 따라 주기적으로 수행되어 개인이 어떠한 업무를 수행하고 있고 이에 따라 기밀이 될 수 있는 주요 키워드 등은 동적으로 갱신된다.
발신 단말(101)이 메시지를 발송(S109)하면, 메시지 서버(233)는 보안 처리 서버(400)에게 메시지를 전달하여 메시지 내용에 대하여 해당 사용자에 대한 개인별 보안 처리를 요청한다(S111).
보안 처리 서버(400)는 S107 단계에서 저장한 사용자별 업무 유형 데이터를 검색하여 발신 단말(101)이 속하는 업무 그룹을 확인한다. 그리고 S111 단계에서 전달받은 메시지에 포함된 내용 중에서 보안 처리가 필요한지 판단한다(S115). 즉, 메시지로부터 키워드를 추출하여 추출한 키워드 중에서 중요 보안 키워드로 분류된 키워드가 있는지를 판단한다.
이때, 보안 처리가 필요하지 않다면, 보안 처리 필요없음을 메시지 서버(233)로 알린다(S117). 그러면, 메시지 서버(233)는 수신된 메시지 그대로 착신 단말(103)로 전송한다(S119).
반면, S115 단계에서 보안 처리가 필요하다고 판단되면, 메시지 내용 중에 중요 보안 키워드에 마스킹 처리한다(S121).
또한, 메시지 푸시 서버(500)에게 알림 처리를 요청한다(S123). 그러면, 메시지 푸시 서버(500)는 발신 단말(101)로 중요 보안 키워드가 포함되었음을 알리는 알림 메시지(또는 사용자 주의 메시지)를 전송한다(S125).
다음, 보안 처리 서버(400)는 보안 처리 결과를 메시지 서버(233)로 전송한다(S127). 그러면, 메시지 서버는 보안 처리된 메시지를 착신 단말(103)로 전송한다(S129).
또한, 보안 처리 서버(400)는 부가적으로 개인별 특정 IP 등에 대한 공중망 접속시에 주의 메시지를 전송하는 등의 기능도 가능하게 되는데 이러한 경우에는 보안 처리 정보를 공중망 P-GW(215)로 전송할 수 있다.
도 7은 본 발명의 다른 실시예에 따른 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시지 보안 제공 방법을 나타낸 흐름도로서, 도 4의 실시예에 해당한다.
도 7을 참조하면, 발신 단말(101)이 메시지를 발송(S201)하면, 발신측 MME(209-1)는 네트워크 연동 기반 메시지를 통해 메시지를 발신측 MSC(229)로 전달한다(S203). 여기서, 네트워크 연동 기반 메시지는 SGs 인터페이스 메시지를 포함한다.
발신측 MSC(229)는 메시지 서버(233)로 메시지 전송을 요청한다(S205).
메시지 서버(233)는 보안 처리 서버(400)에게 보안 처리를 요청한다(S207).
보안 처리 서버(400)는 발신자의 업무 유형 데이터를 검색(S209)하여 보안 처리가 필요한지 판단한다(S211).
보안 처리가 필요하지 않으면, 보안 처리 결과를 메시지 서버(233)로 전송한다(S213).
메시지 서버(233)는 수신한 메시지 그대로 착신측 MSC(231)로 전송한다(S215).
착신측 MSC(231)는 메시지를 착신측 MME(209-3)로 전달한다(S217).
착신측 MME(209-3)는 수신한 메시지를 착신 단말(103)로 전송한다(S219).
한편, S211 단계에서 보안 처리가 필요하다고 판단되면, 전달받은 메시지에 보안 처리한다(S221). 그리고 메시지 푸시 서버(500)에게 알림 처리를 요청한다(S223). 그러면, 메시지 푸시 서버(500)는 알림 메시지를 발신 단말(101)로 전송한다(S225).
보안 처리 서버(400)는 보안 처리 결과를 메시지 서버(233)로 전송한다(S227).
메시지 서버(233)는 보안 처리된 메시지를 착신측 MSC(231)로 전송한다(S229).
착신측 MSC(231)는 메시지를 착신측 MME(209-3)로 전달한다(S231).
착신측 MME(209-3)는 수신한 메시지를 착신 단말(103)로 전송한다(S233).
도 8은 본 발명의 또 다른 실시예에 따른 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시지 보안 제공 방법을 나타낸 흐름도로서, 도 5의 실시예에 해당한다.
도 8을 참조하면, 발신 단말(101)이 메시지를 발송(S301)하면, 발신측 MME(209)는 네트워크 연동 기반 메시지를 통해 메시지를 발신측 MSC(229)로 전달한다(S303).
발신측 MSC(229)는 메시지 서버(233)로 메시지 전송을 요청한다(S305).
메시지 서버(233)는 보안 처리 서버(400)에게 보안 처리를 요청한다(S307).
보안 처리 서버(400)는 발신자의 업무 유형 데이터를 검색(S309)하여 보안 처리가 필요한지 판단한다(S311).
보안 처리가 필요하지 않으면, 보안 처리 결과를 메시지 서버(233)로 전송한다(S313).
메시지 서버(233)는 수신한 메시지 그대로 IP-SM-GW(235)로 전달한다(S315). IP-SM-GW(235)는 호 세션 제어 장치(CSCF)(237)/IM(Instant Message) 서버(239)로 메시지를 전송한다(S317).
호 세션 제어 장치(CSCF)(237)/IM 서버(239)는 수신한 메시지를 S-GW(211)로 전달한다(S319). S-GW(211)는 수신한 메시지를 착신 단말(103)로 전송한다(S321).
한편, S311 단계에서 보안 처리가 필요하다고 판단되면, 전달받은 메시지에 보안 처리한다(S323). 그리고 메시지 푸시 서버(500)에게 알림 처리를 요청한다(S325). 그러면, 메시지 푸시 서버(500)는 알림 메시지를 발신 단말(101)로 전송한다(S327).
보안 처리 서버(400)는 보안 처리 결과를 메시지 서버(233)로 전송한다(S329).
메시지 서버(233)는 보안 처리된 메시지를 IP-SM-GW(235)로 전달한다(S331). IP-SM-GW(235)는 호 세션 제어 장치(CSCF)(237)/IM 서버(239)로 보안 처리된 메시지를 전송한다(S333).
호 세션 제어 장치(CSCF)(237)/IM 서버(239)는 보안 처리된 메시지를 S-GW(211)로 전달한다(S335). S-GW(211)는 보안 처리된 메시지를 착신 단말(103)로 전송한다(S337).
도 9는 본 발명의 실시예에 따른 발신 단말의 동적 메시지 보안 적용 예시도이고, 도 10은 본 발명의 실시예에 따른 착신 단말의 동적 메시지 보안 적용 예시도이다.
도 9의 (a)를 참조하면, 메시지 화면(P1)에 상대방 메시지(P3)가 수신되고, 그 다음에 발신자가 메시지(P5)를 입력한 상태이다. 이때, 메시지(P5)를 입력하면, 상대방에게 전송되기 전에 도 9의 (b)와 같이, 사용자 주의 메시지(P9)가 팝업될 수 있다. 확인을 누르면, 도 9의 (a)와 같이 "해당 내용은 보안상 마스킹 처리되었습니다"라는 메시지(P7)가 수신된다.
여기서, 발신자의 메시지 화면(P1)에는 마스킹 처리 메시지가 보이지 않지만, 도 10과 같이, 착신자의 메시지 화면(P11)에는 발신자 메시지(P13)에 마스킹 처리되어 있음을 알 수 있다. 즉, 발신자 메시지(P13) 중에서 중요 보안 키워드가 마스킹 처리되어 있음을 알 수 있다.
이처럼, 기업의 사용자가 전용망(219) 상에서 수행하고 있는 업무와 관련하여 IMS망을 통하여 RCS, VoLTE 서비스를 이용하여 개인적인 메시지를 주고 받을 경우, 주요 키워드에 대하여 메시지 전송 마스킹과 같은 보안 처리가 수행된다. 그리고 해당 메시지 송신에 대한 주의 메시지를 전송하고 송신에 대한 확인을 받는 보안 처리가 수행된다.
또한, 발신자 메시지(P13) 사용자 단말의 메시지 애플리케이션에서 발송 후 착신자 단말 뿐아니라 발신자 단말에서도 마스킹 처리가 이루어질 수도 있다. 즉, P5에도 중요 보안 키워드에 대해 마스킹 처리가 적용될 수 있다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (10)

  1. 회사 업무 관련 데이터의 송수신 경로를 제공하는 전용망(Private Network), 개인적인 데이터의 송수신 경로를 제공하는 공중망(Public Network), 통화 및 메시지 서비스를 제공하는 아이엠에스망(IP Multimedia Subsystem network, IMS network)을 포함하는 규모와 역할이 다른 복수의 네트워크들을 포함하는 비대칭 멀티 모바일 데이터 네트워크와 연결된 통신 시스템이 동적 메시징 보안을 제공하는 방법으로서,
    상기 통신 시스템이 상기 전용망과 사용자 단말 사이에서 송수신되는 패킷에 대해 심층 패킷 검사(Deep Packet Inspection, DPI)를 수행하여 업무 관련 사용자 데이터를 추출하는 단계,
    상기 업무 관련 사용자 데이터를 기초로 상기 사용자 단말이 현재 속하는 업무를 확인하는 단계,
    상기 확인한 업무 및 상기 확인한 업무에 해당하는 보안 키워드를 포함하는 업무 유형 데이터를 생성하여 저장하는 단계,
    상기 공중망 또는 상기 아이엠에스망을 통해 상기 사용자 단말로부터 수신된 메시지로부터 키워드를 추출하는 단계,
    상기 추출한 키워드가 상기 보안 키워드에 해당되는지 판단하는 단계,
    상기 추출한 키워드가 상기 보안 키워드에 해당되면, 상기 메시지에 기 정의된 보안 처리를 하는 단계, 그리고
    보안 처리된 메시지를 착신 단말로 전송하는 단계
    를 포함하는 동적 메시징 보안 제공 방법.
  2. 제1항에 있어서,
    상기 확인하는 단계는,
    상기 업무 관련 사용자 데이터로부터 추출한 키워드를 사전 등록된 업무 그룹 정보와 비교하여 상기 사용자 단말이 속하는 현재 업무 그룹을 동적으로 분류하고,
    상기 업무 유형 데이터는,
    업무 그룹 정보, 보안 처리가 필요한 중요 보안 키워드 및 보안 처리 적용 기한을 포함하는 동적 메시징 보안 제공 방법.
  3. 제2항에 있어서,
    상기 사전 등록된 업무 그룹 정보는,
    운영자에 의해 사전 등록된 업무 정보와, 상기 업무 정보에 해당하는 분류 키워드를 포함하고,
    상기 확인하는 단계는,
    상기 업무 관련 사용자 데이터로부터 정해진 분석 단위 또는 처리 업무 단위로 모든 키워드를 추출하여 각각의 키워드 벡터를 생성하는 단계,
    상기 분류 키워드에 포함된 복수의 키워드들에 대한 각각의 키워드 벡터와 상기 업무 관련 사용자 데이터로부터 생성된 각각의 키워드 벡터 간의 유사도를 측정하는 단계, 그리고
    측정된 유사도 값이 기 정의된 임계치를 충족하는 분류 키워드에 해당하는 업무 그룹을 상기 사용자 단말의업무 그룹으로 분류하는 단계
    를 포함하는 동적 메시징 보안 제공 방법.
  4. 제3항에 있어서,
    상기 추출하는 단계, 상기 확인하는 단계 및 상기 저장하는 단계는,
    주기적으로 이루어지는, 동적 메시징 보안 제공 방법.
  5. 삭제
  6. 제1항에 있어서,
    상기 보안 처리를 하는 단계는,
    상기 메시지를 발신한 사용자 단말에게 보안 처리가 필요한 키워드가 포함되어 있음을 알리는 알림 메시지를 전송하는 단계, 그리고
    상기 보안 키워드로 판단된 상기 추출한 키워드에 마스킹(masking) 처리를 하는 단계
    를 포함하는, 동적 메시징 보안 제공 방법.
  7. 회사 업무 관련 데이터의 송수신 경로를 제공하는 전용망(Private Network), 개인적인 데이터의 송수신 경로를 제공하는 공중망(Public Network), 통화 및 메시지 서비스를 제공하는 아이엠에스망(IP Multimedia Subsystem network, IMS network)을 포함하는 규모와 역할이 다른 복수의 네트워크들을 포함하는 비대칭 멀티 모바일 데이터 네트워크와 연결된 통신 시스템으로서,
    사용자 단말과 상기 전용망 간에 송수신되는 패킷에 대해 심층 패킷 검사(Deep Packet Inspection, DPI)를 수행하여 상기 패킷으로부터 업무 관련 사용자 데이터를 추출하고, 상기 업무 관련 사용자 데이터를 사전 등록된 업무 그룹 정보와 비교하여, 비교 결과에 따라 상기 사용자 단말의 업무 그룹을 동적으로 분류하고, 상기 사용자 단말의 업무 유형 데이터를 생성하는 심층 패킷 검사 서버,
    상기 심층 패킷 검사 서버로부터 상기 업무 유형 데이터를 수신하여 저장하고, 상기 공중망 또는 상기 아이엠에스망을 통해 상기 사용자 단말로부터 메시지가 수신되면, 상기 사용자 단말의 업무 유형 데이터가 상기 메시지에 포함되어 있는지 판단하고, 상기 메시지에 상기 업무 유형 데이터가 포함되어 있으면, 상기 메시지에 기 정의된 보안 처리를 수행하는 보안 처리 서버, 그리고
    상기 보안 처리 서버로부터 전달받은 보안 처리된 메시지를 착신 단말로 전달하는 메시지 서버
    를 포함하는 통신 시스템.
  8. 제7항에 있어서,
    상기 심층 패킷 검사 서버는,
    운영자에 의해 사전 등록된 업무 정보와, 상기 업무 정보에 해당하는 분류 키워드를 포함하는 사전 등록된 업무 그룹 정보를 저장하는 데이터베이스,
    상기 패킷에 대해 심층 패킷 검사를 수행하여 상기 업무 관련 사용자 데이터를 추출하는 사용자 데이터 추출부, 그리고
    상기 업무 관련 사용자 데이터를 상기 업무 그룹 정보와 비교한 결과를 기초로 사용자 단말의 업무 유형 데이터를 생성하는 동적 분류부를 포함하고,
    상기 동적 분류부는,
    상기 업무 관련 사용자 데이터로부터 정해진 분석 단위 또는 처리 업무 단위로 모든 키워드를 추출하여 각각의 키워드 벡터를 생성하고,
    상기 분류 키워드에 포함된 복수의 키워드들에 대한 각각의 키워드 벡터를 생성하며,
    상기 업무 관련 사용자 데이터로부터 생성된 각각의 키워드 벡터와, 상기 분류 키워드로부터 생성된 각각의 키워드 벡터 간의 유사도를 측정하여 측정된 유사도 값이 기 정의된 임계치를 충족하는 분류 키워드를 추출하고,
    추출한 분류 키워드에 해당하는 업무 그룹을 사용자 단말의 업무 그룹으로 분류하며,
    분류된 업무 그룹의 업무 유형 데이터를 생성하여 상기 보안 처리 서버로 전송하는, 통신 시스템.
  9. 제8항에 있어서,
    상기 업무 유형 데이터는,
    업무 그룹 정보, 보안 처리가 필요한 중요 보안 키워드 및 보안 처리 적용 기한을 포함하고,
    상기 보안 처리 서버는,
    상기 메시지로부터 추출한 키워드가 상기 메시지의 발신 단말이 속하는 업무 그룹의 중요 보안 키워드에 해당하면, 상기 메시지에 마스킹(masking) 처리를 한 후, 상기 메시지 서버로 전달하는 통신 시스템.
  10. 제9항에 있어서,
    상기 보안 처리 서버의 요청에 따라 상기 발신 단말에게 보안 처리가 필요한 키워드가 포함되어 있음을 알리는 사용자 주의 메시지를 전송하는 메시지 푸시 서버
    를 더 포함하는 통신 시스템.
KR1020160000585A 2016-01-04 2016-01-04 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시징 보안 제공 방법 및 이를 구현하는 통신 시스템 KR102011403B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160000585A KR102011403B1 (ko) 2016-01-04 2016-01-04 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시징 보안 제공 방법 및 이를 구현하는 통신 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160000585A KR102011403B1 (ko) 2016-01-04 2016-01-04 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시징 보안 제공 방법 및 이를 구현하는 통신 시스템

Publications (2)

Publication Number Publication Date
KR20170081491A KR20170081491A (ko) 2017-07-12
KR102011403B1 true KR102011403B1 (ko) 2019-08-16

Family

ID=59353106

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160000585A KR102011403B1 (ko) 2016-01-04 2016-01-04 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시징 보안 제공 방법 및 이를 구현하는 통신 시스템

Country Status (1)

Country Link
KR (1) KR102011403B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102259789B1 (ko) * 2020-02-24 2021-06-02 삼정데이타서비스 주식회사 발신 메일 및 수신 메일의 스팸 필터링 방법 및 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014021567A1 (ko) * 2012-07-31 2014-02-06 에스케이플래닛 주식회사 메시지 서비스 제공 방법, 이를 위한 장치 및 시스템

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101178068B1 (ko) * 2005-07-14 2012-08-30 주식회사 케이티 텍스트의 카테고리 분류 장치 및 그 방법
KR101039698B1 (ko) * 2009-06-12 2011-06-08 (주)소만사 애플리케이션을 경유한 db접근을 보호하기 위한 데이터베이스 보안 시스템, 서버 및 방법
KR20140071744A (ko) * 2012-12-04 2014-06-12 한국전자통신연구원 스마트 통신단말을 위한 보안정책 협상 기반의 차등화된 보안제어 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014021567A1 (ko) * 2012-07-31 2014-02-06 에스케이플래닛 주식회사 메시지 서비스 제공 방법, 이를 위한 장치 및 시스템

Also Published As

Publication number Publication date
KR20170081491A (ko) 2017-07-12

Similar Documents

Publication Publication Date Title
US9094519B1 (en) Enhancing reachability in internet protocol communications
US8509729B2 (en) Interactive personal emergency communications
KR101432230B1 (ko) 네트워크 정보 스트링을 등록하는 시스템 및 방법
US20110105084A1 (en) Back-channeled packeted data
US9781255B1 (en) Authentication of phone call origination
US20110081883A1 (en) Mapping Commercial Mobile Alert Service Messages to Cell Broadcasts
US10090874B2 (en) System and method for providing service license aggregation across multiple physical and virtual SIM cards
US9106603B2 (en) Apparatus, method and computer-readable storage mediums for determining application protocol elements as different types of lawful interception content
US10187761B2 (en) Call center A2P-P2P message routing conversion
US11546760B2 (en) Caller verification in rich communication services (RCS)
CN108605227A (zh) 移动感知入侵检测系统
US9973906B2 (en) Identifiers for enterprise messages
US10200852B1 (en) Method and system of enabling roaming services in a data-only network to a user equipment requiring a dual attachment to packet and circuit switched networks
CN106792627A (zh) 一种多设备连通通讯的实现方法及实现系统
KR102011403B1 (ko) 비대칭 멀티 모바일 데이터 네트워크에서 동적 메시징 보안 제공 방법 및 이를 구현하는 통신 시스템
US11349792B2 (en) Identification of sources of media traffic through a network
KR102294713B1 (ko) 애플리케이션 설치 유도 장치 및 방법
US10667124B2 (en) System and method for providing service license aggregation across multiple physical and virtual sim cards
KR102126999B1 (ko) 데이터 서비스 제어 방법 및 그 장치
US10616421B2 (en) Grafting and separation of mobile telephone number lines
KR20170050321A (ko) 선택적 스팸 차단 서비스를 제공하는 시스템, 서버 및 발신 단말
KR20220067498A (ko) 보이스 피싱 차단 방법 및 그 장치
Kämppi et al. End-user Requirements for Multi-Agency Cooperation in Cross-border Operations (MACICO) Project
KR20160089207A (ko) 애플리케이션 설치 유도 장치 및 방법
KTONA et al. THE STUDY OF NON-TRADITIONAL SOLUTIONS FOR FINANCIAL INCLUSION

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right