KR102548430B1 - Apparatus and method establishing a policy of end-to-end communication - Google Patents

Apparatus and method establishing a policy of end-to-end communication Download PDF

Info

Publication number
KR102548430B1
KR102548430B1 KR1020180077308A KR20180077308A KR102548430B1 KR 102548430 B1 KR102548430 B1 KR 102548430B1 KR 1020180077308 A KR1020180077308 A KR 1020180077308A KR 20180077308 A KR20180077308 A KR 20180077308A KR 102548430 B1 KR102548430 B1 KR 102548430B1
Authority
KR
South Korea
Prior art keywords
identifier
communication device
security module
end communication
information
Prior art date
Application number
KR1020180077308A
Other languages
Korean (ko)
Other versions
KR20200004193A (en
Inventor
박경원
김경남
김형주
강혜진
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020180077308A priority Critical patent/KR102548430B1/en
Publication of KR20200004193A publication Critical patent/KR20200004193A/en
Application granted granted Critical
Publication of KR102548430B1 publication Critical patent/KR102548430B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Abstract

IoT 단말과 IoT 서비스 서버 등과 같은 종단 통신 장치 간의 연결시 사용할 식별자(ID : Identifier) 기반의 정책을 자동으로 설정하는 장치 및 방법이 개시된다. 일 측면에 따른 정책 관리 장치에서 제 1 종단 통신 장치와 제 2 종단 통신 장치 간의 연결 정책을 설정하는 방법은, 상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보를 저장하는 단계; 상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를 저장하는 단계; 서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 단계; 및 상기 제 1, 2 연결 관계 정보를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함한다.Disclosed is an apparatus and method for automatically setting an identifier (ID)-based policy to be used when a terminal communication device such as an IoT terminal and an IoT service server is connected. A method for setting a connection policy between a first end communication device and a second end communication device in a policy management device according to an aspect includes an identifier of the first end communication device and a first security module connected to the first end communication device. Storing first connection relationship information matching the identifier of; storing second connection relationship information obtained by matching an identifier of the second end-end communication device with an identifier of a second security module connected to the second end-end communication device; checking a correspondence between the first end communication device and the second end communication device based on service group information and unique information of the first and second end communication devices; and storing identifier-based bi-directional connection information based on the first security module and bi-directional connection information based on the identifier based on the second security module in a policy storage unit by using the first and second connection relationship information, respectively. including;

Description

종단 간 통신의 정책을 설정하는 장치 및 방법{APPARATUS AND METHOD ESTABLISHING A POLICY OF END-TO-END COMMUNICATION}Apparatus and method for setting end-to-end communication policy {APPARATUS AND METHOD ESTABLISHING A POLICY OF END-TO-END COMMUNICATION}

본 발명은 IoT(Internet of Things) 기술에 관한 것으로서, 보다 구체적으로 IoT 단말과 IoT 서비스 서버 등과 같은 종단 통신 장치 간의 연결시 사용할 정책을 설정하는 장치 및 방법에 관한 것이다.The present invention relates to Internet of Things (IoT) technology, and more particularly, to an apparatus and method for setting a policy to be used when connecting an IoT terminal and an end-end communication device such as an IoT service server.

인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 네트워크에서, 사물 등 분산된 구성 요소들 간에 정보를 주고받아 처리하는 IoT(Internet of Things, 사물인터넷) 네트워크로 진화하고 있다. IoT(Internet of Things)란, 통신 가능한 모든 사물들을 네트워크에 연결하여 상호 통신 수행이 가능한 개념을 의미한다. 시스템적으로 인지할 수 있는 모든 객체인 Things는 근거리 및 원거리 통신 기능을 탑재하고, 센서 등을 통해 데이터를 생산할 수 있다. IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술 및 보안 기술과 같은 기술 요소들이 요구된다. 최근에는 사물 간의 연결을 위한 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 연구되고 있다. 이러한 IoT 서비스는 퍼블릭 네트워크(Public Network) 환경에서 제공된다. 즉 누구나 언제든지 IoT 네트워크에 접속할 수 있다. 이와 같이 IoT 서비스는 퍼블릭 네트워크 환경에서 제공되기 때문에 IoT 디바이스(IoT 단말이나 IoT 서비스 서버)는 퍼블릭 네트워크에 노출되어 보안이 취약할 수 있다. The Internet is evolving from a human-centered network in which humans create and consume information to an Internet of Things (IoT) network in which information is exchanged and processed between distributed components such as objects. The Internet of Things (IoT) refers to a concept capable of performing mutual communication by connecting all communicable things to a network. Things, which are all objects that can be recognized systematically, are equipped with short-distance and long-distance communication functions and can produce data through sensors. In order to implement IoT, technical elements such as sensing technology, wired and wireless communication and network infrastructure, service interface technology and security technology are required. Recently, technologies such as a sensor network for connection between objects, machine to machine (M2M), and machine type communication (MTC) have been studied. These IoT services are provided in a public network environment. In other words, anyone can access the IoT network at any time. As such, since the IoT service is provided in a public network environment, the IoT device (IoT terminal or IoT service server) may be exposed to the public network and security may be weak.

본 발명은 상술한 문제점을 해결하기 위해 제안된 것으로, IoT 단말과 IoT 서비스 서버 등과 같은 종단 통신 장치 간의 연결시 사용할 식별자(ID : Identifier) 기반의 정책을 자동으로 설정하는 장치 및 방법을 제공하는 데 목적이 있다.The present invention has been proposed to solve the above problems, to provide a device and method for automatically setting an identifier (ID: Identifier) based policy to be used when connecting an end-to-end communication device such as an IoT terminal and an IoT service server. There is a purpose.

일 측면에 따른 정책 관리 장치에서 제 1 종단 통신 장치와 제 2 종단 통신 장치 간의 연결 정책을 설정하는 방법은, 상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보를 저장하는 단계; 상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를 저장하는 단계; 서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 단계; 및 상기 제 1, 2 연결 관계 정보를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함한다.A method for setting a connection policy between a first end communication device and a second end communication device in a policy management device according to an aspect includes an identifier of the first end communication device and a first security module connected to the first end communication device. Storing first connection relationship information matching the identifier of; storing second connection relationship information obtained by matching an identifier of the second end-end communication device with an identifier of a second security module connected to the second end-end communication device; checking a correspondence between the first end communication device and the second end communication device based on service group information and unique information of the first and second end communication devices; and storing identifier-based bi-directional connection information based on the first security module and bi-directional connection information based on the identifier based on the second security module in a policy storage unit by using the first and second connection relationship information, respectively. including;

상기 제 1 연결 관계 정보를 저장하는 단계는, 제 1 보안 모듈로부터, 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 단계; 상기 제 1 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 1 보안 모듈의 제 1 식별자와 매칭하는 단계를 포함할 수 있다.The storing of the first connection relationship information may include receiving, from a first security module, an identifier of the first security module and unique information of the first end communication device; It may include assigning an identifier to the first terminal communication device and matching the assigned identifier with a first identifier of the first security module.

상기 고유 정보를 수신하는 단계는, 상기 제 1 종단 통신 장치에 상기 제 1 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 수행될 수 있다.The receiving of the unique information may be performed in response to an operation in which the first security module is communicatively connected to the first end communication device.

상기 제 2 연결 관계 정보를 저장하는 단계는, 제 2 보안 모듈로부터, 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 단계; 및 상기 제 2 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 2 보안 모듈의 식별자와 매칭하는 단계를 포함할 수 있다.The storing of the second connection relationship information may include receiving, from a second security module, an identifier of the second security module and unique information of the second end communication device; and assigning an identifier to the second terminal communication device and matching the assigned identifier with the identifier of the second security module.

상기 고유 정보를 수신하는 단계는, 상기 제 2 종단 통신 장치에 상기 제 2 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 수행될 수 있다.The receiving of the unique information may be performed in response to an operation in which the second security module is communicatively connected to the second end communication device.

상기 대응 관계를 확인하는 단계는, 상기 제 1 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보와 상기 제 2 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보의 일치를 확인하는 단계; 및 상기 제 1 종단 통신 장치의 식별자와 상기 제 2 종단 통신 장치의 식별자를 매칭한, 제 3 연결 관계 정보를 획득하는 단계;를 포함할 수 있다.The checking of the corresponding relationship may include: checking whether service group information identified as the unique information of the first-end communication device and service group information identified as the unique information of the second-end communication device match; and acquiring third connection relationship information obtained by matching the identifier of the first-end communication device with the identifier of the second-end communication device.

상기 서비스 그룹 정보의 일치를 확인하는 단계는, 상기 제 1 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 상기 제 1 종단 통신 장치의 식별자를 매칭하여 저장하는 단계; 및 상기 2 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 매칭된 상기 제 1 종단 통신 장치의 식별자를 확인하는 단계;를 포함할 수 있다.The checking of service group information may include matching and storing an identifier of the first end-point communication device with service group information checked using the unique information of the first end-point communication device; and identifying an identifier of the first-end communication device matched to service group information identified using the unique information of the second-end communication device.

상기 정책 저장수단에 저장하는 단계는, 상기 제 3 연결 관계 정보를 이용하여 상기 제 1, 2 연결 관계 정보를 조회하는 단계; 조회된 상기 제 1, 2 연결 관계 정보를 이용하여 식별자들 기반의 상기 제 1, 2 종단 통신 장치 간의 전체 경로를 조합하는 단계; 및 상기 전체 경로에서 상기 제 1 보안 모듈을 기준으로 한 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함할 수 있다.The storing of the policy in the storage unit may include: searching for the first and second connection relationship information using the third connection relationship information; combining all paths between the first and second end communication devices based on identifiers using the inquired first and second connection relationship information; and storing bi-directional connection information based on the first security module and bi-directional connection information based on the second security module in a policy storage unit in the entire path.

상기 정책 저장수단은, 블록체인일 수 있다.The policy storage unit may be a blockchain.

상기 고유 정보들은, IP 주소 또는 MAC 주소일 수 있다.The unique information may be an IP address or a MAC address.

상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는, 상기 제 1 종단 통신 장치의 식별자, 상기 제 1 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것일 수 있다.The bidirectional connection information based on the identifier based on the first security module may be composed of an identifier of the first terminal communication device, an identifier of the first security module, and an identifier of the second security module.

상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는, 상기 제 2 종단 통신 장치의 식별자, 상기 제 2 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것일 수 있다.The bidirectional connection information based on the identifier based on the second security module may be composed of an identifier of the second terminal communication device, an identifier of the second security module, and an identifier of the second security module.

다른 측면에 따른 제 1 종단 통신 장치와 제 2 종단 통신 장치 간의 연결 정책을 설정하는 정책 관리 장치는, 상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보와, 상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를, 연결 관계 정보 저장부에 저장하는 식별자 관리부; 서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 종단 장치 관리부; 및 상기 제 1, 2 연결 관계 정보를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장부에 저장하는 정책 관리부;를 포함한다.A policy management device for setting a connection policy between a first-end communication device and a second-end communication device according to another aspect includes an identifier of the first-end communication device and an identifier of a first security module connected to the first-end communication device. , the first connection relationship information matched, the identifier of the second end-end communication device, and the second connection relationship information matched with the identifier of the second security module connected to the second end-end communication device, the connection relationship information is stored. an identifier management unit stored in the unit; an end device management unit that checks a correspondence between the first end communication device and the second end communication device based on service group information and unique information of the first and second end communication devices; and storing identifier-based bi-directional connection information based on the first security module and identifier-based bi-directional connection information based on the second security module using the first and second connection relationship information, respectively, in a policy storage unit. It includes; a policy management unit that does.

상기 정책 관리 장치는, 제 1 보안 모듈로부터, 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 수신부;를 더 포함하고, 상기 식별자 관리부는, 상기 제 1 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 1 보안 모듈의 제 1 식별자와 매칭할 수 있다.The policy management device further includes a receiver configured to receive, from a first security module, an identifier of the first security module and unique information of the first end-point communication device, and the identifier management unit includes the first end-point communication device. An identifier may be assigned to and the assigned identifier may be matched with the first identifier of the first security module.

상기 수신부는, 상기 제 1 종단 통신 장치에 상기 제 1 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 상기 제 1 보안 모듈로부터 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신할 수 있다.The receiving unit receives an identifier of the first security module and unique information of the first end communication device from the first security module in response to an operation in which the first security module is communicatively connected to the first end communication device. can receive

상기 정책 관리 장치는, 제 2 보안 모듈로부터, 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 수신부;를 더 포함하고, 상기 식별자 관리부는, 상기 제 2 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 2 보안 모듈의 식별자와 매칭할 수 있다.The policy management device further includes a receiver configured to receive, from a second security module, an identifier of the second security module and unique information of the second end communication device, and the identifier management unit includes the second end communication device. An identifier may be assigned to and the assigned identifier may be matched with an identifier of the second security module.

상기 수신부는, 상기 제 2 종단 통신 장치에 상기 제 2 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 제 2 보안 모듈로부터 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신할 수 있다.The reception unit receives an identifier of the second security module and unique information of the second end communication device from the second security module in response to an operation in which the second security module is communicably connected to the second end communication device. can do.

상기 종단 장치 관리부는, 상기 제 1 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보와 상기 제 2 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보의 일치를 확인하고, 상기 제 1 종단 통신 장치의 식별자와 상기 제 2 종단 통신 장치의 식별자를 매칭한, 제 3 연결 관계 정보를 획득할 수 있다.The end device management unit checks service group information identified as the unique information of the first end communication device and service group information identified as the unique information of the second end communication device, and identifies the identifier of the first end communication device and Third connection relationship information matching the identifier of the second end communication device may be obtained.

상기 종단 장치 관리부는, 상기 제 1 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 상기 제 1 종단 통신 장치의 식별자를 매칭하여 저장하고, 상기 2 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 매칭된 상기 제 1 종단 통신 장치의 식별자를 확인함으로써, 제 1, 2 종단 통신 장치의 서비스 그룹 정보의 일치를 확인할 수 있다. The end device management unit matches and stores the identifier of the first end communication device with the service group information identified using the unique information of the first end communication device, and stores the identified service using the unique information of the second end communication device. Matching of service group information of the first and second end communication devices may be confirmed by checking the identifier of the first end communication device matched with the group information.

상기 정책 관리부는, 상기 제 3 연결 관계 정보를 이용하여 상기 제 1, 2 연결 관계 정보를 조회하고, 조회된 상기 제 1, 2 연결 관계 정보를 이용하여 식별자들 기반의 상기 제 1, 2 종단 통신 장치 간의 전체 경로를 조합하며, 상기 전체 경로에서 상기 제 1 보안 모듈을 기준으로 한 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 양방향 연결 정보를 각각 정책 저장부에 저장할 수 있다.The policy manager searches the first and second connection relationship information using the third connection relationship information, and uses the retrieved first and second connection relationship information to perform the first and second end communication based on identifiers. Full paths between devices may be combined, and bidirectional connection information based on the first security module and bidirectional connection information based on the second security module may be stored in a policy storage unit in the entire path.

상기 정책 저장부는, 블록체인일 수 있고, 상기 고유 정보들은, IP 주소 또는 MAC 주소일 수 있다.The policy storage unit may be a block chain, and the unique information may be an IP address or a MAC address.

상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는, 상기 제 1 종단 통신 장치의 식별자, 상기 제 1 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것일 수 있다.The bidirectional connection information based on the identifier based on the first security module may be composed of an identifier of the first terminal communication device, an identifier of the first security module, and an identifier of the second security module.

상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는, 상기 제 2 종단 통신 장치의 식별자, 상기 제 2 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것일 수 있다.The bidirectional connection information based on the identifier based on the second security module may be composed of an identifier of the second terminal communication device, an identifier of the second security module, and an identifier of the second security module.

일 실시예에서, 네트워크 구조에 따라 변동성이 높은 IP 주소 기반의 정책을 탈피하여 식별자(ID : Identifier) 기반 정책을 이용함으로써 퍼블릭 네트워크를 통한 IoT 서비스의 보안을 높인다.In one embodiment, security of IoT services through a public network is increased by using an identifier (ID)-based policy by breaking away from an IP address-based policy having high variability according to a network structure.

일 실시예에서, 종단 통신 장치에 보안 모듈을 통신 가능하게 연결하면 종단 통신 장치에 식별자(ID : Identifier)를 할당하고 식별자 기반 정책을 자동으로 설정함으로써 레거시 시스템의 변화 없이 모든 IoT 서비스에 보안을 제공할 수 있다. In one embodiment, security is provided to all IoT services without changing the legacy system by assigning an identifier (ID: Identifier) to the end communication device and automatically setting an identifier-based policy when the security module is communicably connected to the end communication device. can do.

일 실시예에서, 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 정책으로서 기록함으로써 퍼블릭 네트워크를 통한 종단 간(End-To-End) 통신에서 각 종단의 보안 모듈은 그 하위의 종단 통신 장치와 상대방 종단의 보안 모듈만 식별하면 된다. 따라서 종단 통신 장치의 퍼블릭 네트워크를 통한 노출을 최소화함으로써 보안을 강화한다. In one embodiment, by recording bi-directional connection information based on an identifier based on a security module as a policy, in end-to-end communication through a public network, the security module of each end communicates with the lower end communication device. Only the security module on the other end needs to be identified. Therefore, security is strengthened by minimizing the exposure of the terminal communication device through the public network.

도 1은 본 발명의 일 실시예에 따른 종단(End-to-End) 간 통신 시스템을 나타낸 도면이다.
도 2는 도 1의 정책 관리 장치의 블럭도이다.
도 3은 도 1의 종단(End-to-End) 간 통신 시스템에서 정책 관리 장치(150)의 동작을 설명하는 흐름도이다.
도 4는 도 1의 종단 간 통신 시스템의 실시예로서 IoT 단말과 IoT 서비스 서버 간 통신을 나타낸 도면이다.
도 5는 도 4의 시스템에서 IoT 서비스 서버와 제 2 보안 모듈 간의 ID 연결 관계 정보를 생성하는 방법을 설명하는 흐름도이다.
도 6은 도 4의 시스템에서 IoT 단말과 IoT 서비스 서버 간의 연결 정책을 설정하는 방법을 설명하는 흐름도이다.1 is a diagram illustrating an end-to-end communication system according to an embodiment of the present invention.
2 is a block diagram of the policy management apparatus of FIG. 1;
FIG. 3 is a flowchart illustrating the operation of the policy management device 150 in the end-to-end communication system of FIG. 1 .
4 is a diagram illustrating communication between an IoT terminal and an IoT service server as an embodiment of the end-to-end communication system of FIG. 1 .
5 is a flowchart illustrating a method of generating ID connection relationship information between an IoT service server and a second security module in the system of FIG. 4 .
6 is a flowchart illustrating a method of setting a connection policy between an IoT terminal and an IoT service server in the system of FIG. 4 .

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.The above-described objects, features and advantages will become more apparent through the following detailed description in conjunction with the accompanying drawings, and accordingly, those skilled in the art to which the present invention belongs can easily implement the technical idea of the present invention. There will be. In addition, in describing the present invention, if it is determined that a detailed description of a known technology related to the present invention may unnecessarily obscure the subject matter of the present invention, the detailed description will be omitted. Hereinafter, a preferred embodiment according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 종단(End-to-End) 간 통신 시스템을 나타낸 도면이다. 도 1을 참조하면, 본 실시예에 따른 종단 간 통신 시스템은, 종단 통신 장치들(110, 130), 보안 모듈들(120, 140), 정책 관리 장치(150) 및 정책 저장 장치(160)를 포함하고 이들은 통신망(170)으로 연결된다.1 is a diagram illustrating an end-to-end communication system according to an embodiment of the present invention. Referring to FIG. 1 , the end-to-end communication system according to the present embodiment includes end-to-end communication devices 110 and 130, security modules 120 and 140, a policy management device 150, and a policy storage device 160. Including and they are connected to the communication network (170).

종단 통신 장치들(110, 130)은 통신 경로 상의 끝에 존재하는 통신 장치로서, 예를 들어, 가스 센서, 화재 감지 센서, 카메라, 인공지능 스피커 등의 IoT 단말이나, 이러한 IoT 단말과 통신하여 IoT 서비스를 제공하는 IoT 서비스 서버를 포함한다. IoT 단말은 메모리와 프로세서 및 통신 회로 등을 포함하여 IoT 서비스 서버와 통신할 수 있고 또는 다른 IoT 단말과 P2P 통신을 할 수 있다. IoT 서비스 서버는 IoT 단말과 연결되어 IoT 단말로부터 주기적으로 상태 정보를 수신하고 또한 IoT 단말의 펌웨어를 업데이트하며 IoT 단말로 콘텐츠 스트리밍 등의 서비스를 제공할 수 있다.The end communication devices 110 and 130 are communication devices that exist at the ends of the communication path, and provide IoT services by communicating with IoT terminals such as gas sensors, fire detection sensors, cameras, artificial intelligence speakers, etc., for example. It includes an IoT service server that provides. The IoT terminal includes a memory, a processor, and a communication circuit to communicate with an IoT service server or to perform P2P communication with other IoT terminals. The IoT service server may be connected to the IoT terminal, periodically receive status information from the IoT terminal, update firmware of the IoT terminal, and provide services such as content streaming to the IoT terminal.

보안 모듈들(120, 140)은 종단 통신 장치들(110, 130)에 통신 가능하게 연결되어 종단 통신 장치(110, 130)를 통신망(170)을 통한 외부 공격으로부터 보호한다. 보안 모듈들(120, 140)은 통신 계층상 종단 통신 장치들(110, 130)의 상위 계층에 위치한다. 보안 모듈들(120, 140)은 물리적인 어댑터 형태로 제작되어 종단 통신 장치(110, 130)에 물리적으로 연결될 수 있다. 이 경우, 보안 모듈들(120, 140)은 메모리 및 프로세서 그리고 통신 회로를 포함할 수 있다. 또는 보안 모듈들(120, 140)은 소프트웨어로 제작되어 종단 통신 장치들(110, 130)의 메모리에 저장되어 실행될 수 있다. 보안 모듈들(120, 140)은 자체 저장소에 다른 보안 모듈과 구별될 수 있는 임의의 식별자(ID : Identifier, 이하에서 ID라 함)가 부여되어 저장된다. The security modules 120 and 140 are communicatively connected to the end communication devices 110 and 130 to protect the end communication devices 110 and 130 from external attacks through the communication network 170 . The security modules 120 and 140 are located at a higher layer of the end communication devices 110 and 130 on the communication layer. The security modules 120 and 140 may be manufactured in the form of physical adapters and physically connected to the terminal communication devices 110 and 130 . In this case, the security modules 120 and 140 may include a memory, a processor, and a communication circuit. Alternatively, the security modules 120 and 140 may be manufactured as software and stored in the memory of the terminal communication devices 110 and 130 to be executed. The security modules 120 and 140 are stored in their own storage with an arbitrary identifier (ID: Identifier, hereinafter referred to as ID) that can be distinguished from other security modules.

보안 모듈들(120, 140)은, 종단 통신 장치들(110, 130)로부터 수신된 패킷을 외부로 전송할 때, 정책 저장 장치(160)로 정책을 질의하고, 정책 조회 결과에 따라 패킷의 외부로의 전송 여부를 결정한다. 이때 정책은 식별자(ID) 기반의 정책으로서, 보안 모듈(120, 140)을 기준으로 한 양방향 연결 정보이다. 또한, 보안 모듈들(120, 140)은, 외부로부터 종단 통신 장치들(110, 130)로 향하는 패킷이 수신될 때, 정책 저장 장치(160)로 정책을 질의하고, 정책 조회 결과에 따라 패킷의 내부로의 전송 여부를 결정한다. 이를 위해 보안 모듈들(120, 140)은, 종단 통신 장치들(110, 130)에 최초로 통신 가능하게 연결될 때, 자신의 ID와 종단 통신 장치들(110, 130)의 고유 정보, 예를 들어 IP 주소 또는 MAC 주소를 정책 관리 장치(150)로 전송하여 종단 통신 장치들(110, 130) 간의 연결 정책이 설정되도록 한다.The security modules 120 and 140, when transmitting the packet received from the end communication devices 110 and 130 to the outside, query the policy storage device 160 for a policy, and according to the policy inquiry result, the outside of the packet decide whether to send At this time, the policy is an identifier (ID)-based policy, and is bi-directional connection information based on the security module (120, 140). In addition, the security modules 120 and 140 query the policy storage device 160 for a policy when a packet directed to the terminal communication devices 110 and 130 is received from the outside, and the packet is stored according to the policy inquiry result. Determines whether or not to transmit internally. To this end, when the security modules 120 and 140 are communicatively connected to the terminal communication devices 110 and 130 for the first time, their ID and unique information of the terminal communication devices 110 and 130, for example, IP The address or MAC address is transmitted to the policy management device 150 so that a connection policy between the terminal communication devices 110 and 130 is set.

보안 모듈(120, 140)은, 종단 통신 장치(110, 130)로부터 수신된 패킷을 외부로 전송할 때, 정책 저장 장치(160)로 토큰 시드를 요청하고 정책 저장 장치(160)로부터 수신된 토큰 시드를 이용하여 생성한 토큰을 패킷에 삽입하여 전송한다. 또한, 보안 모듈들(120, 140)은, 외부로부터 종단 통신 장치들(110, 130)로 향하는 패킷이 수신될 때, 정책 저장 장치(160)로 패킷을 전송한 측에서 사용한 토큰 시드를 요청하고, 정책 저장 장치(160)로부터 수신된 토큰 시드를 이용하여 패킷에 포함된 토큰을 검증한다. 보안 모듈들(120, 140)은, 토큰 검증에 성공시에 외부로부터 수신된 패킷에서 토큰을 제거하여 내부의 종단 통신 장치(110, 130)로 전달한다. When the security module 120 or 140 transmits the packet received from the terminal communication device 110 or 130 to the outside, the security module 120 or 140 requests a token seed from the policy storage device 160 and returns the token seed received from the policy storage device 160 The token generated by using is inserted into the packet and transmitted. In addition, the security modules 120 and 140, when a packet from the outside to the terminal communication devices 110 and 130 is received, requests the token seed used by the side transmitting the packet to the policy storage device 160 and , The token included in the packet is verified using the token seed received from the policy storage device 160. The security modules 120 and 140, upon successful token verification, remove the token from the packet received from the outside and deliver it to the internal terminal communication device 110 and 130.

정책 관리 장치(150)는, ID 기반의 종단 통신 연결 정책을 설정하여 정책 저장 장치(160)에 저장한다. 여기서 ID 기반의 종단 통신 연결 정책은 보안 모듈(120, 140)을 기준으로 한 ID 기반의 양방향 연결 정보를 포함한다. 예를 들어, 상기 제 1 보안 모듈(120)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 1 종단 통신 장치(110)의 ID, 제 1 보안 모듈(120)의 ID 그리고 제 2 보안 모듈(140)의 ID로 이루어진 연결 정보이다. 그리고 제 2 보안 모듈(140)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 2 종단 통신 장치(130)의 ID, 제 2 보안 모듈(140)의 ID, 제 1 보안 모듈(120)의 ID로 이루어진 연결 정보이다. The policy management device 150 sets an ID-based terminal communication connection policy and stores it in the policy storage device 160 . Here, the ID-based terminal communication connection policy includes ID-based two-way connection information based on the security modules 120 and 140 . For example, the ID-based bi-directional connection information based on the first security module 120 includes the ID of the first end communication device 110, the ID of the first security module 120, and the second security module ( 140) connection information. And the ID-based bidirectional connection information based on the second security module 140 includes the ID of the second end communication device 130, the ID of the second security module 140, and the ID of the first security module 120. It is connection information consisting of

정책 관리 장치(150)는, 종단 통신 장치(110, 130)에 보안 모듈(120, 140)이 통신 가능하게 연결되어 동작할 때, 보안 모듈(120, 140)로부터 자신의 ID와 보안 모듈(120, 140)에 연결된 종단 통신 장치(110, 130)의 고유 정보, 예를 들어, IP 주소나 MAC 주소를 수신한다. 정책 관리 장치(150)는, ID가 없는 종단 통신 장치(110, 130)에 ID를 부여한 후 종단 통신 장치(110, 130)와 보안 모듈(120, 140) 간의 ID 연결 관계 정보를 생성한다. 정책 관리 장치(150)는, 서로 동일한 서비스 그룹에 속하는 종단 통신 장치들(110, 130)을 확인하고, 이들의 보안 모듈(120, 140)들과의 ID 연결 관계 정보를 조합하여 종단 통신 장치들(110, 130) 간의 ID 기반의 전체 경로를 조합한다. 그리고 정책 관리 장치(150)는 전체 경로에서 보안 모듈(120, 140)을 기준으로 한 양방향 연결 정보를 생성하여 정책 저장 장치(160)에 저장한다. The policy management device 150, when the security modules 120 and 140 are communicatively connected to the terminal communication devices 110 and 130 and operate, their ID and security module 120 from the security modules 120 and 140. , 140) receives unique information of the terminal communication device 110 or 130, for example, an IP address or a MAC address. The policy management device 150 creates ID connection relationship information between the end communication devices 110 and 130 and the security modules 120 and 140 after assigning IDs to end communication devices 110 and 130 that do not have IDs. The policy management device 150 checks the end communication devices 110 and 130 belonging to the same service group, and combines ID connection information with the security modules 120 and 140 to determine the end communication devices. Combine the entire path based on ID between (110, 130). In addition, the policy management device 150 generates bidirectional connection information based on the security modules 120 and 140 in the entire path and stores it in the policy storage device 160 .

정책 저장 장치(160)는 정책 관리 장치(150)에서 생성된 ID 기반의 종단 통신 연결 정책을 수신하여 저장한다. ID 기반의 종단 통신 연결 정책은 보안 모듈(120, 140)을 기준으로 한 ID 기반의 양방향 연결 정보를 포함한다. 정책 저장 장치(160)는 블록체인 네트워크를 구성하는 노드들을 포함한다. 블록체인 네트워크를 구성하는 노드들은 주기적으로 블록을 생성하여 트랜잭션을 기록하여 저장하는데, 본 발명의 실시예에서 트랜잭션은 상기 ID 기반의 종단 통신 연결 정책을 포함한다. 블록체인 네트워크를 구성하는 노드들에서 생성되는 블록들은 체인처럼 연결된 상태로 만들어지며, 각 노드들은 동일한 블록을 공유하고 있어, 블록에 저장된 트랜잭션을 위조하려면 노드들의 상당수를 해킹해야만 한다. 또한 블록에 트랜잭션이 일정 이상 기록되면 노드들은 서로 간의 합의 과정을 거쳐 트랜잭션들이 서로 동일하게 축적되도록 한다.The policy storage device 160 receives and stores the ID-based terminal communication connection policy generated by the policy management device 150 . The ID-based terminal communication connection policy includes ID-based two-way connection information based on the security module (120, 140). The policy storage device 160 includes nodes constituting a blockchain network. Nodes constituting a blockchain network periodically create blocks to record and store transactions. In an embodiment of the present invention, the transaction includes the ID-based end-to-end communication connection policy. Blocks created from the nodes constituting the blockchain network are made in a connected state like a chain, and since each node shares the same block, a significant number of nodes must be hacked to forge transactions stored in the block. In addition, if more than a certain number of transactions are recorded in the block, the nodes go through a mutual agreement process so that the transactions are accumulated equally.

도 2는 도 1의 정책 관리 장치의 블럭도이다. 정책 관리 장치(150)는 메모리, 메모리 제어기, 하나 이상의 프로세서(CPU), 주변 인터페이스, 입출력(I/O) 서브시스템, 디스플레이 장치, 입력 장치 및 통신 회로를 포함할 수 있다. 이러한 구성요소는 하나 이상의 통신 버스 또는 신호선을 통하여 통신한다. 이러한 여러 구성요소는 하나 이상의 신호 처리 및/또는 애플리케이션 전용 집적 회로(application specific integrated circuit)를 포함하여, 하드웨어, 소프트웨어 또는 하드웨어와 소프트웨어 둘의 조합으로 구현될 수 있다. 2 is a block diagram of the policy management apparatus of FIG. 1; The policy management device 150 may include a memory, a memory controller, one or more processors (CPUs), a peripheral interface, an input/output (I/O) subsystem, a display device, an input device, and communication circuitry. These components communicate through one or more communication buses or signal lines. These various components may be implemented in hardware, software, or a combination of both hardware and software, including one or more signal processing and/or application specific integrated circuits.

메모리는 고속 랜덤 액세스 메모리를 포함할 수 있고, 또한 하나 이상의 자기 디스크 저장 장치, 플래시 메모리 장치와 같은 불휘발성 메모리, 또는 다른 불휘발성 반도체 메모리 장치를 포함할 수 있다. 일부 실시예에서, 메모리는 하나 이상의 프로세서로부터 멀리 떨어져 위치하는 저장 장치, 예를 들어 RF 회로와, 인터넷, 인트라넷, LAN(Local Area Network), WLAN(Wide LAN), SAN(Storage Area Network) 등, 또는 이들의 적절한 조합과 같은 통신 네트워크(도시하지 않음)를 통하여 액세스되는 네트워크 부착형(attached) 저장 장치를 더 포함할 수 있다. 프로세서 및 주변 인터페이스와 같은 장치의 다른 구성요소에 의한 메모리로의 액세스는 메모리 제어기에 의하여 제어될 수 있다.The memory may include high-speed random access memory, and may also include one or more magnetic disk storage devices, non-volatile memory such as flash memory devices, or other non-volatile semiconductor memory devices. In some embodiments, memory is a storage device located remotely from one or more processors, such as RF circuitry, the Internet, an intranet, a local area network (LAN), a wide LAN (WLAN), a storage area network (SAN), and the like, or a network attached storage device accessed through a communication network (not shown), such as a suitable combination thereof. Access to memory by other components of the device, such as the processor and peripheral interface, may be controlled by the memory controller.

주변 인터페이스는 장치의 입출력 주변 장치를 프로세서 및 메모리와 연결한다. 하나 이상의 프로세서는 다양한 소프트웨어 프로그램 및/또는 메모리에 저장되어 있는 명령어 세트를 실행하여 시스템을 위한 여러 기능을 수행하고 데이터를 처리한다. 일부 실시예에서, 주변 인터페이스, 프로세서 및 메모리 제어기는 칩과 같은 단일 칩 상에서 구현될 수 있다. 일부 다른 실시예에서, 이들은 별개의 칩으로 구현될 수 있다.The peripheral interface connects the input/output peripherals of the device with the processor and memory. One or more processors execute various software programs and/or sets of instructions stored in memory to perform various functions and process data for the system. In some embodiments, the peripheral interface, processor and memory controller may be implemented on a single chip such as a chip. In some other embodiments, they may be implemented as separate chips.

I/O 서브시스템은 디스플레이 장치, 입력 장치와 같은 장치의 입출력 주변장치와 주변 인터페이스 사이에 인터페이스를 제공한다. 디스플레이 장치는 LCD(liquid crystal display) 기술 또는 LPD(light emitting polymer display) 기술을 사용할 수 있고, 이러한 디스플레이 장치는 용량형, 저항형, 적외선형 등의 터치 디스플레이일 수 있다.The I/O subsystem provides an interface between peripheral interfaces and input/output peripherals of devices such as display devices and input devices. The display device may use a liquid crystal display (LCD) technology or a light emitting polymer display (LPD) technology, and the display device may be a capacitive, resistive, or infrared touch display.

프로세서는 시스템에 연관된 동작을 수행하고 명령어들을 수행하도록 구성된 프로세서로서, 예를 들어, 메모리로부터 검색된 명령어들을 이용하여, 시스템의 컴포넌트 간의 입력 및 출력 데이터의 수신과 조작을 제어할 수 있다. 일부 실시예에서, 소프트웨어 구성요소는 운영 체제, 그래픽 모듈(명령어 세트), 본 발명을 위한 동작을 수행하기 위한 프로그램이 탑재(설치)될 수 있다. 운영 체제는, 예를 들어, 다윈(Darwin), RTXC, LINUX, UNIX, OSX, WINDOWS 또는 VxWorks, 안드로이드, iOS 등과 같은 내장 운영체제일 수 있고, 일반적인 시스템 태스크(task)(예를 들어, 메모리 관리, 저장 장치 제어, 전력 관리 등)를 제어 및 관리하는 다양한 소프트웨어 구성요소 및/또는 장치를 포함하고, 다양한 하드웨어와 소프트웨어 구성요소 사이의 통신을 촉진시킨다.A processor is a processor configured to perform operations associated with a system and to execute instructions, such as to control the receipt and manipulation of input and output data between components of the system using instructions retrieved from memory. In some embodiments, software components may be loaded (installed) with an operating system, a graphics module (instruction set), and a program for performing operations for the present invention. The operating system may be, for example, a built-in operating system such as Darwin, RTXC, LINUX, UNIX, OSX, WINDOWS or VxWorks, Android, iOS, etc., and performs general system tasks (eg, memory management, storage device control, power management, etc.) and facilitates communication between the various hardware and software components.

통신 회로는 이더넷 통신 회로 및 RF 회로를 포함할 수 있다. 이더넷 통신 회로는 유선 통신을 수행하고, RF 회로는 전자파를 송수신한다. RF 회로는 전기 신호를 전자파로 또는 그 반대로 변환하며 이 전자파를 통하여 통신 네트워크, 다른 이동형 게이트웨이 및 통신 장치와 통신한다. RF 회로는 예를 들어 안테나 시스템, RF 트랜시버, 하나 이상의 증폭기, 튜너, 하나 이상의 오실레이터, 디지털 신호 처리기, CODEC 칩셋, 메모리 등을 포함하지만 이에 한정되지 않는 이러한 기능을 수행하기 위한 주지의 회로를 포함할 수 있다. RF 회로는 셀룰러 전화 네트워크, 무선 LAN 및/또는 MAN(metropolitan area network)와 같은 무선 네트워크, 그리고 근거리 무선 통신에 의하여 다른 장치와 통신할 수 있다.Communication circuitry may include Ethernet communication circuitry and RF circuitry. The Ethernet communication circuit performs wired communication, and the RF circuit transmits and receives electromagnetic waves. RF circuitry converts electrical signals into electromagnetic waves and vice versa, and communicates with communication networks, other mobile gateways, and communication devices through these electromagnetic waves. The RF circuitry may include known circuitry for performing these functions, including but not limited to, for example, an antenna system, an RF transceiver, one or more amplifiers, a tuner, one or more oscillators, a digital signal processor, a CODEC chipset, a memory, and the like. can The RF circuitry may communicate with other devices by means of cellular telephone networks, wireless networks such as wireless LANs and/or metropolitan area networks (MANs), and short-range wireless communications.

도 2에 도시된 바와 같이, 수신부(210), 식별자 관리부(220), 연결 관계 정보 DB(230), 서비스 그룹 식별부(240), 서비스 그룹 정보 DB(250), 종단 장치 관리부(260), 정책 관리부(270)를 포함한다. 수신부(210), 식별자 관리부(220), 서비스 그룹 식별부(240), 종단 장치 관리부(260) 및 정책 관리부(270)는 프로그램으로 구현되어 메모리에 저장된 후 프로세서에 의해 실행될 수 있고, 또는 하드웨어와 소프트웨어의 조합으로 구현될 수도 있다.As shown in FIG. 2, a receiving unit 210, an identifier management unit 220, a connection relationship information DB 230, a service group identification unit 240, a service group information DB 250, an end device management unit 260, A policy management unit 270 is included. The receiving unit 210, the identifier management unit 220, the service group identification unit 240, the terminal device management unit 260, and the policy management unit 270 may be implemented as programs and stored in a memory and then executed by a processor, or may be executed by a processor or hardware and It may be implemented as a combination of software.

수신부(210)는, 종단 통신 장치(110, 130)에 보안 모듈(120, 140)이 통신 가능하게 연결되어 동작할 때, 보안 모듈(120, 140)로부터 자신의 ID와 보안 모듈(120, 140)에 연결된 종단 통신 장치(110, 130)의 고유 정보, 예를 들어, IP 주소나 MAC 주소를 수신한다. 예를 들어, 제 1 보안 모듈(120)로부터 그의 ID와 제 1 종단 통신 장치(110)의 MAC 주소를 수신한다. 제 2 보안 모듈(140)로부터는 그의 ID와 제 2 종단 통신 장치(130)의 IP 주소를 수신한다. When the security modules 120 and 140 are communicatively connected to the terminal communication devices 110 and 130 and operate, the receiver 210 receives its own ID and security modules 120 and 140 from the security modules 120 and 140. ) Receives unique information of the terminal communication devices 110 and 130 connected to, for example, an IP address or a MAC address. For example, it receives its ID and the MAC address of the first end communication device 110 from the first security module 120 . The second security module 140 receives its ID and the IP address of the second end communication device 130 .

식별자 관리부(220)는, ID가 없는 종단 통신 장치(110, 130)에 ID를 부여한 후 종단 통신 장치(110, 130)와 보안 모듈(120, 140) 간의 ID 연결 관계 정보를 생성하여 연결 관계 정보 DB(230)에 저장한다. 예를 들어, 상기 수신부(210)에 제 1 보안 모듈(120)로부터 그의 ID와 제 1 종단 통신 장치(110)의 MAC 주소가 수신되었을 때, 식별자 관리부(220)는, 제 1 종단 통신 장치(110)에 임시적인 ID를 부여하고, 제 1 보안 모듈(120)의 ID와 제 1 종단 통신 장치(110)의 ID를 매칭한, 연결 관계 정보를 연결 관계 정보 DB(230)에 저장한다. 또한, 상기 수신부(210)에 제 2 보안 모듈(140)로부터 그의 ID와 제 2 종단 통신 장치(130)의 IP 주소가 수신되었을 때, 식별자 관리부(220)는, 제 2 종단 통신 장치(130)에 임시적인 ID를 부여하고, 제 2 보안 모듈(140)의 ID와 제 2 종단 통신 장치(130)의 ID를 매칭한, 연결 관계 정보를 연결 관계 정보 DB(230)에 저장한다.The identifier management unit 220 assigns IDs to end communication devices 110 and 130 that do not have IDs, and then generates ID connection relationship information between the end communication devices 110 and 130 and the security modules 120 and 140 to obtain connection relationship information. Stored in DB (230). For example, when the reception unit 210 receives its ID and the MAC address of the first end communication device 110 from the first security module 120, the identifier management unit 220, the first end communication device ( 110), the ID of the first security module 120 and the ID of the first terminal communication device 110 are matched, and the connection relation information is stored in the connection relation information DB 230. In addition, when the reception unit 210 receives its ID and the IP address of the second end communication device 130 from the second security module 140, the identifier management unit 220, the second end communication device 130 A temporary ID is given to the second security module 140 and the ID of the second terminal communication device 130 is matched, and connection relation information is stored in the connection relation information DB 230.

서비스 그룹 식별부(240)는, 서비스 그룹 정보 DB(250)에 저장된 정보를 참조하여 보안 모듈들(120, 140)에 연결된 종단 통신 장치들(110, 130)의 서비스 그룹을 확인한다. 서비스 그룹 식별부(240)는, 수신부(210)로부터 종단 통신 장치(110, 130)의 고유 정보, 예를 들어, IP 주소나 MAC 주소를 수신하고, 그 수신된 고유 정보를 이용하여 서비스 그룹 정보 DB(250)에서 해당하는 서비스 그룹 정보를 확인한다. 서비스 그룹 정보 DB(250)에는 서비스 그룹별로 해당 서비스 그룹명, 해당 서비스 그룹에 속하는 종단 통신 장치들(110, 130)의 MAC 주소 또는 IP 주소의 목록이 저장된다. 예를 들어, 삼성전자에서 IoT 서비스를 제공한다면, IoT 서비스를 제공하는 플랫폼 서버의 IP 주소와 그 IoT 서비스를 제공하는 삼성전자에서 제조하여 판매하는 IoT 단말들의 MAC 주소가 서비스 그룹 정보 DB(250)에 저장된다. The service group identification unit 240 checks service groups of end communication devices 110 and 130 connected to the security modules 120 and 140 by referring to information stored in the service group information DB 250 . The service group identification unit 240 receives the unique information of the terminal communication devices 110 and 130, for example, an IP address or a MAC address from the receiving unit 210, and uses the received unique information to provide service group information. In the DB 250, corresponding service group information is checked. The service group information DB 250 stores a corresponding service group name for each service group, and a list of MAC addresses or IP addresses of the terminal communication devices 110 and 130 belonging to the corresponding service group. For example, if Samsung Electronics provides an IoT service, the IP address of the platform server providing the IoT service and the MAC addresses of IoT terminals manufactured and sold by Samsung Electronics providing the IoT service are stored in the service group information DB 250. is stored in

종단 장치 관리부(260)는, 상기 서비스 그룹 식별부(240)에서 확인한 종단 통신 장치들(110, 130)의 서비스 그룹 정보를 이용하여 종단 통신 장치들(110, 130)의 대응 관계를 확인한다. 종단 장치 관리부(260)는, 대응 관계가 확인된 종단 통신 장치들(110, 130)의 ID들을 식별자 관리부(220)로부터 수신하고 그 수신된 ID들을 매칭한 연결 관계 정보를 생성한다. 종단 장치 관리부(260)는 그 생성한 종단 통신 장치들(110, 130)의 ID 연결 관계 정보를 연결 관계 정보 DB(230)에 저장할 수 있다. The end device management unit 260 checks the correspondence of the end communication devices 110 and 130 using the service group information of the end communication devices 110 and 130 checked by the service group identification unit 240. The terminal device management unit 260 receives the IDs of the terminal communication devices 110 and 130 whose corresponding relationship is confirmed from the identifier management unit 220 and generates connection relationship information matching the received IDs. The terminal device management unit 260 may store ID connection relation information of the end communication devices 110 and 130 in the connection relation information DB 230 .

실시예에 따라, 종단 장치 관리부(260)는, 종단 통신 장치(110, 130) 중 어느 한 종단 통신 장치(예, 110)의 서비스 그룹 정보가 서비스 그룹 식별부(240)로부터 수신되면, 식별자 관리부(220)로부터 수신된 해당 종단 통신 장치(110)의 ID를 서비스 그룹 정보 DB(250)의 해당 서비스 그룹에 매칭하여 저장한다. 그리고 종단 장치 관리부(260)는, 다른 종단 통신 장치(130)의 서비스 그룹 정보가 서비스 그룹 식별부(240)로부터 수신되면, 그 수신된 서비스 그룹 정보를 이용하여 서비스 그룹 정보 DB(250)에 종단 통신 장치(110)의 ID를 질의하여 수신한 후, 수신된 종단 통신 장치(110)의 ID와 식별자 관리부(220)로부터 수신되는 종단 통신 장치(130)의 ID와 매칭하여 종단 통신 장치(110, 130) 간의 ID 연결 관계 정보를 획득할 수 있다.Depending on the embodiment, when service group information of any one end communication device (eg, 110) among the end communication devices 110 and 130 is received from the service group identification unit 240, the end device management unit 260 is an identifier management unit. The ID of the terminal communication device 110 received from 220 is matched with the corresponding service group of the service group information DB 250 and stored. Further, when the service group information of the other terminal communication device 130 is received from the service group identification unit 240, the terminal device management unit 260 stores the service group information DB 250 using the received service group information. After querying and receiving the ID of the communication device 110, the received ID of the terminal communication device 110 is matched with the ID of the terminal communication device 130 received from the identifier management unit 220, and the terminal communication device 110, 130) can obtain ID connection relationship information.

정책 관리부(270)는, 연결 관계 정보 DB(230)에 저장된 종단 통신 장치들(110, 130)과 보안 모듈들(120, 140) 간의 ID 연결 관계 정보와, 상기 종단 장치 관리부(260)에서 확인된 종단 통신 장치들(110, 130)의 대응 관계, 구체적으로는 종단 통신 장치들(110, 130) 간의 ID 연결 관계 정보를 이용하여, 보안 모듈(120, 140)을 기준으로 한 ID 기반의 양방향 연결 정보를 생성하고 이를 정책 저장 장치(160)로 전송하여 저장한다. 구체적으로, 정책 관리부(270)는, 종단 통신 장치들(110, 130) 간의 ID 연결 관계 정보를 이용하여, 연결 관계 정보 DB(230)에서 종단 통신 장치들(110, 130)과 보안 모듈들(120, 140) 간의 ID 연결 관계 정보를 조회하고, 조회된 종단 통신 장치들(110, 130)과 보안 모듈들(120, 140) 간의 ID 연결 관계 정보를 이용하여 ID 기반의 종단 통신 장치(110, 130) 간의 전체 경로를 조합한다. 그리고 정책 관리부(270)는 상기 전체 경로에서 예를 들어, 제 1 보안 모듈(120)을 기준으로 한 양방향 연결 정보와 제 2 보안 모듈(140)을 기준으로 한 양방향 연결 정보를 각각 정책 저장 장치(160)에 전송하여 저장한다. 예를 들어, 상기 제 1 보안 모듈(120)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 1 종단 통신 장치(110)의 ID, 제 1 보안 모듈(120)의 ID 그리고 제 2 보안 모듈(140)의 ID로 이루어진 연결 정보이다. 그리고 제 2 보안 모듈(140)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 2 종단 통신 장치(130)의 ID, 제 2 보안 모듈(140)의 ID, 제 1 보안 모듈(120)의 ID로 이루어진 연결 정보이다. The policy management unit 270 checks the ID connection relationship information between the terminal communication devices 110 and 130 and the security modules 120 and 140 stored in the connection relationship information DB 230 and the terminal device management unit 260. ID-based two-way based on the security module 120, 140 using the corresponding relationship between the end-end communication devices 110 and 130, specifically, the ID connection relationship information between the end-end communication devices 110 and 130 Connection information is created and transmitted to the policy storage device 160 to be stored. Specifically, the policy management unit 270 uses the ID connection relationship information between the end communication devices 110 and 130 to connect the end communication devices 110 and 130 and security modules in the connection relationship information DB 230 ( 120, 140), and by using the ID connection relationship information between the searched end-end communication devices 110 and 130 and the security modules 120 and 140, the ID-based end-end communication device 110, 130) combine the entire pathway of the liver. In addition, the policy management unit 270 stores, for example, bidirectional connection information based on the first security module 120 and bidirectional connection information based on the second security module 140 in the entire path, respectively, in the policy storage device ( 160) to be transmitted and stored. For example, the ID-based bi-directional connection information based on the first security module 120 includes the ID of the first end communication device 110, the ID of the first security module 120, and the second security module ( 140) connection information. And the ID-based bidirectional connection information based on the second security module 140 includes the ID of the second end communication device 130, the ID of the second security module 140, and the ID of the first security module 120. It is connection information consisting of

도 3은 도 1의 종단(End-to-End) 간 통신 시스템에서 정책 관리 장치(150)의 동작을 설명하는 흐름도이다. FIG. 3 is a flowchart illustrating the operation of the policy management device 150 in the end-to-end communication system of FIG. 1 .

단계 301에서, 정책 관리 장치(150)는, 제 1 종단 통신 장치(110)의 ID와 제 1 보안 모듈(120)의 ID를 매칭한 연결 관계 정보를 생성한다. 정책 관리 장치(150)는, 제 1 보안 모듈(120)로부터 그의 ID와 제 1 종단 통신 장치(110)의 IP 주소 또는 MAC 주소가 수신되었을 때, 제 1 종단 통신 장치(110)에 임시적인 ID를 부여하고, 제 1 보안 모듈(120)의 ID와 제 1 종단 통신 장치(110)의 ID를 매칭한, 연결 관계 정보를 연결 관계 정보 DB(230)에 저장한다.In step 301, the policy management device 150 generates connection relationship information matching the ID of the first terminal communication device 110 and the ID of the first security module 120. When the policy management device 150 receives its ID and the IP address or MAC address of the first end communication device 110 from the first security module 120, the temporary ID is assigned to the first end communication device 110. , and the ID of the first security module 120 and the ID of the first terminal communication device 110 are matched, and the connection relation information is stored in the connection relation information DB 230 .

단계 302에서, 정책 관리 장치(150)는, 제 2 종단 통신 장치(130)의 ID와 제 2 보안 모듈(140)의 ID를 매칭한 연결 관계 정보를 생성한다. 정책 관리 장치(150)는, 제 2 보안 모듈(140)로부터 그의 ID와 제 2 종단 통신 장치(130)의 IP 주소 또는 MAC 주소가 수신되었을 때, 제 2 종단 통신 장치(130)에 임시적인 ID를 부여하고, 제 2 보안 모듈(140)의 ID와 제 2 종단 통신 장치(130)의 ID를 매칭한, 연결 관계 정보를 연결 관계 정보 DB(230)에 저장한다.In step 302, the policy management device 150 generates connection relationship information matching the ID of the second terminal communication device 130 and the ID of the second security module 140. When the policy management device 150 receives its ID and the IP address or MAC address of the second end communication device 130 from the second security module 140, the temporary ID is assigned to the second end communication device 130. , and the ID of the second security module 140 and the ID of the second terminal communication device 130 are matched, and connection relation information is stored in the connection relation information DB 230 .

단계 S303에서, 정책 관리 장치(150)는, 제 1, 2 종단 통신 장치들(110, 130)을 포함하는 종단 통신 장치들의 서비스 그룹 정보와 제 1, 2 종단 통신 장치들(110, 130)의 고유 정보, 예를 들어 IP 주소 또는 MAC 주소에 기초하여 제 1 종단 통신 장치(110)와 상기 제 2 종단 통신 장치(130)의 대응 관계를 확인한다. 정책 관리 장치(150)는, 보안 모듈들(120, 140)로부터 수신된 종단 통신 장치(110, 130)의 고유 정보, 예를 들어, IP 주소나 MAC 주소를 이용하여 서비스 그룹 정보 DB(250)에서 해당하는 서비스 그룹 정보를 확인하여 동일한지 확인한다. 정책 관리 장치(150)는, 대응 관계가 확인된 종단 통신 장치들(110, 130) 간의 ID 연결 관계 정보를 생성한다. 실시예에 따라, 정책 관리 장치(150)는, 제 1 종단 통신 장치(110)의 IP 주소나 MAC 주소를 이용하여 서비스 그룹 정보를 확인한 후 그 서비스 그룹 정보에 제 1 종단 통신 장치(110)의 ID를 매칭하여 저장한다. 그리고 정책 관리 장치(150)는 제 2 종단 통신 장치(130)의 IP 주소나 MAC 주소를 이용하여 서비스 그룹 정보에 매칭된 제 1 종단 통신 장치(110)의 ID를 조회한 후, 종단 통신 장치들(110, 130) 간의 ID 연결 관계 정보를 생성한다.In step S303, the policy management device 150 determines the service group information of the end communication devices including the first and second end communication devices 110 and 130 and the first and second end communication devices 110 and 130. A correspondence relationship between the first end communication device 110 and the second end communication device 130 is checked based on unique information, for example, an IP address or a MAC address. The policy management device 150 uses the unique information of the terminal communication device 110 or 130 received from the security modules 120 or 140, for example, an IP address or a MAC address to generate a service group information DB 250. Check the corresponding service group information in , and confirm that it is the same. The policy management device 150 generates ID connection relationship information between the terminal communication devices 110 and 130 whose corresponding relationship is confirmed. According to an embodiment, the policy management device 150 checks the service group information using the IP address or MAC address of the first end communication device 110, and then adds the service group information to the first end communication device 110. Match and save the ID. Then, the policy management device 150 searches for the ID of the first end communication device 110 matched to the service group information using the IP address or MAC address of the second end communication device 130, and then the end communication devices ID connection relationship information between (110, 130) is generated.

단계 S304에서, 정책 관리 장치(150)는, 단계 S301 및 단계 S302에서 저장한 종단 통신 장치들(110, 130)과 보안 모듈(120, 140) 간의 ID 연결 관계 정보와, 단계 S303에서 확인된 종단 통신 장치들(110, 130) 간의 대응 관계를 이용하여, 각 보안 모듈(120, 140)을 기준으로 한 ID 기반의 양방향 연결 정보를 생성하여 정책 저장 장치(160), 예를 들어 블록체인에 저장한다. 정책 관리 장치(150)는, 종단 통신 장치(110, 130) 간의 전체 경로를 조합한 후, 전체 경로에서 제 1 보안 모듈(120)을 기준으로 한 양방향 연결 정보와 제 2 보안 모듈(140)을 기준으로 한 양방향 연결 정보를 각각 정책 저장 장치(160)에 전송하여 저장한다. 예를 들어, 상기 제 1 보안 모듈(120)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 1 종단 통신 장치(110)의 ID, 제 1 보안 모듈(120)의 ID 그리고 제 2 보안 모듈(140)의 ID로 이루어진 연결 정보이다. 그리고 제 2 보안 모듈(140)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 2 종단 통신 장치(130)의 ID, 제 2 보안 모듈(140)의 ID, 제 1 보안 모듈(120)의 ID로 이루어진 연결 정보이다. In step S304, the policy management device 150, the ID connection relationship information between the terminal communication devices (110, 130) and the security module (120, 140) stored in steps S301 and step S302, and the terminal identified in step S303 By using the correspondence between the communication devices 110 and 130, ID-based bi-directional connection information based on each security module 120 and 140 is generated and stored in the policy storage device 160, for example, a block chain. do. The policy management device 150 combines the entire path between the terminal communication devices 110 and 130, and then combines bidirectional connection information based on the first security module 120 and the second security module 140 in the entire path. The bidirectional connection information based on each is transmitted to and stored in the policy storage device 160 . For example, the ID-based bi-directional connection information based on the first security module 120 includes the ID of the first end communication device 110, the ID of the first security module 120, and the second security module ( 140) connection information. And the ID-based bidirectional connection information based on the second security module 140 includes the ID of the second end communication device 130, the ID of the second security module 140, and the ID of the first security module 120. It is connection information consisting of

도 4는 도 1의 종단 간 통신 시스템의 실시예로서 IoT 단말과 IoT 서비스 서버 간 통신을 나타낸 도면이다. 예를 들어, IoT 단말은, 마이크로폰과 스피커를 구비하여, 사용자로부터 음성 요청을 수신하고 이를 IoT 서비스 서버로 전송하고, IoT 서비스 서버로부터 수신되는 응답을 수신하여 출력하는, 소위 인공지능 스피커이다. IoT 서비스 서버는 인공지능 음성 어시스턴트(Voice Assistant) 서비스를 제공하는 장치로서 음성을 인식하고 분석하여 이에 대한 서비스를 제공한다. 도 4를 참조한 실시예에서 IoT 단말(410)은 도 1을 참조한 실시예에서의 제 1 종단 통신 장치(110)일 수 있고, IoT 서비스 서버(430)는, 도 1을 참조한 실시예에서의 제 2 종단 통신 장치(130)일 수 있다. 제 1 보안 모듈(120)은 IoT 단말(410)에 물리적인 어댑터 형태로 연결될 수 있고, 또는 소프트웨어로 구현되어 IoT 단말(410)에 설치되어 동작할 수 있다. 도 4에서 게이트웨이(420)는 예를 들어 공유기일 수 있다. 제 1 보안 모듈(120)에 복수의 IoT 단말(410)이 연결될 때 게이트웨이(420)는 공인 IP 주소를 할당받고 상기 복수의 IoT 단말(410)에는 사설 IP 주소를 할당한다. IoT 단말(410)은 게이트웨이(420) 및 인터넷(440)을 통해 IoT 서비스 서버(430)와 통신한다. 4 is a diagram illustrating communication between an IoT terminal and an IoT service server as an embodiment of the end-to-end communication system of FIG. 1 . For example, an IoT terminal is a so-called artificial intelligence speaker that has a microphone and a speaker, receives a voice request from a user, transmits it to an IoT service server, and receives and outputs a response received from the IoT service server. The IoT service server is a device that provides an artificial intelligence voice assistant (Voice Assistant) service, recognizes and analyzes voice, and provides a corresponding service. In the embodiment with reference to FIG. 4, the IoT terminal 410 may be the first terminal communication device 110 in the embodiment with reference to FIG. 1, and the IoT service server 430 in the embodiment with reference to FIG. 1 It may be a two-end communication device (130). The first security module 120 may be connected to the IoT terminal 410 in the form of a physical adapter, or may be implemented as software and installed in the IoT terminal 410 to operate. In FIG. 4 , the gateway 420 may be, for example, a router. When a plurality of IoT terminals 410 are connected to the first security module 120, the gateway 420 is assigned a public IP address and allocates a private IP address to the plurality of IoT terminals 410. The IoT terminal 410 communicates with the IoT service server 430 through the gateway 420 and the Internet 440 .

도 4를 참조한 실시예에서, IoT 서비스 서버(430)에 제 2 보안 모듈(140)이 연결되면, 정책 관리 장치(150)는 IoT 서비스 서버(430)에 임시적인 ID를 부여하여 제 2 보안 모듈(140)의 ID와의 연결 관계를 설정한다. 이후 IoT 단말(410)에 제 1 보안 모듈(120)이 연결되면, 정책 관리 장치(150)는 IoT 단말(410)에 임시적인 ID를 부여하여 제 1 보안 모듈(120)의 ID와의 연결 관계를 설정한다. 정책 관리 장치(150)는 IoT 단말(140)의 MAC 주소, IoT 서비스 서버(430)의 IP 주소를 이용하여 이들이 동일한 서비스 그룹에 속한 것을 확인한 후, IoT 서비스 서버(430)와 제 2 보안 모듈(140) 간의 ID 연결 관계 정보, 및 IoT 단말(410)과 제 1 보안 모듈(120) 간의 ID 연결 관계 정보를 이용하여, 보안 모듈(120, 140)을 기준으로 한 양방향 연결 정보를 생성하여 정책 저장 장치(160)에 저장한다. In the embodiment with reference to FIG. 4 , when the second security module 140 is connected to the IoT service server 430, the policy management device 150 assigns a temporary ID to the IoT service server 430 so that the second security module Establish a connection relationship with the ID of (140). Then, when the first security module 120 is connected to the IoT terminal 410, the policy management device 150 grants a temporary ID to the IoT terminal 410 to establish a connection relationship with the ID of the first security module 120. Set up. The policy management device 150 uses the MAC address of the IoT terminal 140 and the IP address of the IoT service server 430 to confirm that they belong to the same service group, and then the IoT service server 430 and the second security module ( 140) using the ID connection relationship information between the IoT terminal 410 and the first security module 120 to create bi-directional connection information based on the security modules 120 and 140 and store the policy Save to device 160.

도 5는 도 4의 시스템에서 IoT 서비스 서버와 제 2 보안 모듈 간의 ID 연결 관계 정보를 생성하는 방법을 설명하는 흐름도이다. 5 is a flowchart illustrating a method of generating ID connection relationship information between an IoT service server and a second security module in the system of FIG. 4 .

도 5를 참조하면, 단계 S501에서, IoT 서비스 서버(430)에 제 2 보안 모듈(140)이 통신 가능하게 연결된다. 여기서 통신 가능한 연결이란, 물리적 연결 또는 소프트웨어적 연결을 포함한다. 단계 S502에서, 제 2 보안 모듈(140)은 IoT 서비스 서버(430)의 공인 IP 주소를 수집하고 그 수집된 공인 IP 주소와 자신의 ID1를 정책 관리 장치(150)로 전송한다. Referring to Figure 5, in step S501, the second security module 140 is communicatively connected to the IoT service server 430. Here, the communicable connection includes a physical connection or a software connection. In step S502, the second security module 140 collects the public IP address of the IoT service server 430 and transmits the collected public IP address and its own ID 1 to the policy management device 150.

단계 S503에서, 정책 관리 장치(150)는, IoT 서비스 서버(430)에 임시적인 ID2를 부여한다. 단계 S504에서, 정책 관리 장치(150)는 제 2 보안 모듈(140)과 IoT 서비스 서버(430) 간의 ID 연결 관계, 즉 (ID1, ID2)를 저장한다. 단계 S505에서, 정책 관리 장치(150)는, IoT 서비스 서버(430)의 공인 IP 주소를 이용하여 서비스 그룹을 확인한다. 예를 들어, 삼성전자의 IoT 서비스임을 확인한다. 단계 S506에서, 정책 관리 장치(150)는, 해당 서비스 그룹에 IoT 서비스 서버(430)의 ID2를 매칭하여 저장한다. In step S503, the policy management device 150 assigns a temporary ID 2 to the IoT service server 430. In step S504, the policy management device 150 stores the ID connection relationship between the second security module 140 and the IoT service server 430, that is, (ID 1 and ID 2 ). In step S505, the policy management device 150 checks the service group using the public IP address of the IoT service server 430. For example, it is confirmed that it is Samsung Electronics' IoT service. In step S506, the policy management device 150 matches and stores ID 2 of the IoT service server 430 with the service group.

도 6은 도 4의 시스템에서 IoT 단말과 IoT 서비스 서버 간의 연결 정책을 설정하는 방법을 설명하는 흐름도로서, 도 5를 참조하여 설명한 절차 이후에 동작하는 흐름도이다. 6 is a flowchart illustrating a method of setting a connection policy between an IoT terminal and an IoT service server in the system of FIG. 4, which is operated after the procedure described with reference to FIG. 5.

도 6을 참조하면, 단계 S601에서, IoT 단말(410)에 제 1 보안 모듈(120)이 통신 가능하게 연결된다. 여기서 통신 가능한 연결이란, 물리적 연결 또는 소프트웨어적 연결을 포함한다. 단계 S602에서, 제 1 보안 모듈(120)은 IoT 단말(410)의 MAC 주소를 수집하고 그 수집된 MAC 주소와 자신의 ID3을 정책 관리 장치(150)로 전송한다. Referring to FIG. 6 , in step S601 , the first security module 120 is communicatively connected to the IoT terminal 410 . Here, the communicable connection includes a physical connection or a software connection. In step S602, the first security module 120 collects the MAC address of the IoT terminal 410 and transmits the collected MAC address and its own ID 3 to the policy management device 150.

단계 S603에서, 정책 관리 장치(150)는, IoT 단말(410)에 임시적인 ID4를 부여한다. 단계 S604에서, 정책 관리 장치(150)는 제 1 보안 모듈(120)과 IoT 단말(410) 간의 ID 연결 관계, 즉 (ID3, ID4)를 저장한다. 단계 S605에서, 정책 관리 장치(150)는, IoT 단말(410)의 MAC 주소를 이용하여 서비스 그룹을 확인한다. 예를 들어, 삼성전자의 IoT 단말임을 확인한다. In step S603, the policy management device 150 assigns a temporary ID 4 to the IoT terminal 410. In step S604, the policy management device 150 stores the ID connection relationship between the first security module 120 and the IoT terminal 410, that is, (ID 3 and ID 4 ). In step S605, the policy management device 150 checks the service group using the MAC address of the IoT terminal 410. For example, it is confirmed that it is an IoT terminal of Samsung Electronics.

도 5를 참조한 실시예에서 IoT 서비스 서버(430)의 ID2가 서비스 그룹에 매칭되어 있으므로, 단계 S606에서, 정책 관리 장치(150)는, IoT 단말(410)과 IoT 서비스 서버(430) 간의 ID 연결 관계 정보(ID2 : ID4)를 생성한다. 단계 S607에서, 정책 관리 장치(150)는, IoT 단말(410)과 IoT 서비스 서버(430) 간의 ID 연결 관계 정보(ID2 : ID4)를 이용하여, IoT 서비스 서버(430)와 제 2 보안 모듈(140) 간의 ID 연결 관계 정보, 및 IoT 단말(410)과 제 1 보안 모듈(120) 간의 ID 연결 관계 정보를 확인하고, 이를 이용하여 IoT 단말(410)과 IoT 서비스 서버(430) 간의 ID 기반 전체 경로를 조합한다. ID 기반 전체 경로는 (ID2 : ID1 : ID3 : ID4)이다. Since ID 2 of the IoT service server 430 matches the service group in the embodiment with reference to FIG. 5 , in step S606, the policy management device 150 determines the ID between the IoT terminal 410 and the IoT service server 430. Create connection relationship information (ID2: ID 4 ). In step S607, the policy management device 150, by using the ID connection relationship information (ID2: ID 4 ) between the IoT terminal 410 and the IoT service server 430, the IoT service server 430 and the second security module Check the ID connection relationship information between the (140) and the ID connection relationship information between the IoT terminal 410 and the first security module 120, and use this to determine the ID base between the IoT terminal 410 and the IoT service server 430 Combine all paths. The full path based on ID is (ID 2 : ID 1 : ID 3 : ID 4 ).

단계 S608에서, 정책 관리 장치(150)는 ID 기반 전체 경로를 기초로, 보안 모듈(120, 140)을 기준으로 한 양방향 연결 정보를 생성하여 정책 저장 장치(160)에 저장한다. 제 1 보안 모듈(120)을 기준으로 한 ID 기반의 양방향 연결 정보는, (ID4, ID3, ID1)이다. 제 2 보안 모듈(140)을 기준으로 한 ID 기반의 양방향 연결 정보는, (ID3, ID1, ID2)이다. In step S608, the policy management device 150 generates bi-directional connection information based on the security modules 120 and 140 based on the ID-based full path and stores it in the policy storage device 160. ID-based two-way connection information based on the first security module 120 is (ID 4 , ID 3 , ID 1 ). ID-based two-way connection information based on the second security module 140 is (ID 3 , ID 1 , ID 2 ).

본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.While this specification contains many features, such features should not be construed as limiting the scope of the invention or the claims. Also, features described in separate embodiments in this specification may be implemented in combination in a single embodiment. Conversely, various features that are described in this specification in a single embodiment may be implemented in various embodiments individually or in combination as appropriate.

도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.Although actions are described in a particular order in the drawings, it should not be understood that such actions are performed in the specific order as shown, or that the actions are performed in a series of sequential order, or that all described actions are performed to achieve a desired result. . Multitasking and parallel processing can be advantageous in certain circumstances. In addition, it should be understood that the division of various system components in the above-described embodiments does not require such division in all embodiments. The program components and systems described above may generally be implemented as a package in a single software product or multiple software products.

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.The method of the present invention as described above may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily performed by a person skilled in the art to which the present invention belongs, it will not be described in detail.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention to those skilled in the art to which the present invention belongs, and thus the above-described embodiments and It is not limited by drawings.

110 : 제 1 종단 통신 장치
120 : 제 1 보안 모듈
130 : 제 2 종단 통신 장치
140 : 제 2 보안 모듈
150 : 정책 관리 장치
160 : 정책 저장 장치
170 : 통신망
210 : 수신부
220 : 식별자 관리부
230 : 연결 관계 정보 DB
240 : 서비스 그룹 식별부
250 : 서비스 그룹 정보 DB
260 : 종단 장치 관리부
270 : 정책 관리부110: first end communication device
120: first security module
130: second end communication device
140: second security module
150: policy management device
160: policy storage device
170: communication network
210: receiver
220: identifier management unit
230: connection relationship information DB
240: service group identification unit
250: service group information DB
260: terminal device management unit
270: policy management department

Claims (24)

정책 관리 장치에서 제 1 종단 통신 장치와 제 2 종단 통신 장치 간의 연결 정책을 설정하는 방법으로서,
상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보를 저장하는 단계;
상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를 저장하는 단계;
서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 단계; 및
상기 제 1, 2 연결 관계 정보와 상기 대응 관계를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함하는 방법.A method of setting a connection policy between a first end communication device and a second end communication device in a policy management device, the method comprising:
storing first connection relationship information obtained by matching an identifier of the first end-end communication device with an identifier of a first security module connected to the first end-end communication device;
storing second connection relationship information obtained by matching an identifier of the second end-end communication device with an identifier of a second security module connected to the second end-end communication device;
checking a correspondence between the first end communication device and the second end communication device based on service group information and unique information of the first and second end communication devices; and
policy storage of identifier-based bi-directional connection information based on the first security module and identifier-based bi-directional connection information based on the second security module by using the first and second connection relationship information and the corresponding relationship; storing in a means; 제 1 항에 있어서,
상기 제 1 연결 관계 정보를 저장하는 단계는,
제 1 보안 모듈로부터, 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 단계;
상기 제 1 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 1 보안 모듈의 제 1 식별자와 매칭하는 단계를 포함하는 것을 특징으로 하는 방법.According to claim 1,
The step of storing the first connection relationship information,
Receiving, from a first security module, an identifier of the first security module and unique information of the first end communication device;
and assigning an identifier to the first end communication device and matching the assigned identifier with a first identifier of the first security module. 제 2 항에 있어서,
상기 고유 정보를 수신하는 단계는,
상기 제 1 종단 통신 장치에 상기 제 1 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 수행되는 것을 특징으로 하는 방법.According to claim 2,
Receiving the unique information,
characterized in that it is performed in response to an operation in which the first security module is communicatively connected to the first end communication device. 제 1 항에 있어서,
상기 제 2 연결 관계 정보를 저장하는 단계는,
제 2 보안 모듈로부터, 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 단계;
상기 제 2 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 2 보안 모듈의 식별자와 매칭하는 단계를 포함하는 것을 특징으로 하는 방법.According to claim 1,
The step of storing the second connection relationship information,
Receiving, from a second security module, an identifier of the second security module and unique information of the second end communication device;
and assigning an identifier to the second end communication device and matching the assigned identifier with the identifier of the second security module. 제 4 항에 있어서,
상기 고유 정보를 수신하는 단계는,
상기 제 2 종단 통신 장치에 상기 제 2 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 수행되는 것을 특징으로 하는 방법.According to claim 4,
Receiving the unique information,
characterized in that it is performed in response to an operation in which the second security module is communicatively connected to the second end communication device. 제 1 항에 있어서,
상기 대응 관계를 확인하는 단계는,
상기 제 1 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보와 상기 제 2 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보의 일치를 확인하는 단계; 및
상기 제 1 종단 통신 장치의 식별자와 상기 제 2 종단 통신 장치의 식별자를 매칭한, 제 3 연결 관계 정보를 획득하는 단계;를 포함하는 것을 특징으로 하는 방법.According to claim 1,
The step of confirming the corresponding relationship is,
checking whether the service group information identified as the unique information of the first-end communication device matches the service group information identified as the unique information of the second-end communication device; and
and obtaining third connection relationship information obtained by matching the identifier of the first-end communication device with the identifier of the second-end communication device. 제 6 항에 있어서,
상기 서비스 그룹 정보의 일치를 확인하는 단계는,
상기 제 1 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 상기 제 1 종단 통신 장치의 식별자를 매칭하여 저장하는 단계; 및
상기 2 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 매칭된 상기 제 1 종단 통신 장치의 식별자를 확인하는 단계;를 포함하는 것을 특징으로 하는 방법.According to claim 6,
The step of confirming the matching of the service group information,
matching and storing an identifier of the first end communication device with service group information identified using the unique information of the first end communication device; and
and verifying an identifier of the first-end communication device matched to the identified service group information using the unique information of the second-end communication device. 제 6 항에 있어서,
상기 정책 저장수단에 저장하는 단계는,
상기 제 3 연결 관계 정보를 이용하여 상기 제 1, 2 연결 관계 정보를 조회하는 단계;
조회된 상기 제 1, 2 연결 관계 정보를 이용하여 식별자들 기반의 상기 제 1, 2 종단 통신 장치 간의 전체 경로를 조합하는 단계; 및
상기 전체 경로에서 상기 제 1 보안 모듈을 기준으로 한 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함하는 방법.According to claim 6,
The step of storing the policy in the storage means,
querying the first and second connection relationship information using the third connection relationship information;
combining all paths between the first and second end communication devices based on identifiers using the inquired first and second connection relationship information; and
and storing bi-directional connection information based on the first security module and bi-directional connection information based on the second security module in a policy storage unit in the entire path. 제 1 항에 있어서,
상기 정책 저장수단은, 블록체인인 것을 특징으로 하는 방법.According to claim 1,
The method of claim 1, wherein the policy storage means is a block chain. 제 1 항에 있어서,
상기 고유 정보들은, IP 주소 또는 MAC 주소인 것을 특징으로 하는 방법.According to claim 1,
The unique information is characterized in that the IP address or MAC address. 제 1 항에 있어서,
상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는,
상기 제 1 종단 통신 장치의 식별자, 상기 제 1 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것을 특징으로 하는 방법.According to claim 1,
The bi-directional connection information based on the identifier based on the first security module,
characterized in that it consists of an identifier of the first end communication device, an identifier of the first security module, and an identifier of the second security module. 제 11 항에 있어서,
상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는,
상기 제 2 종단 통신 장치의 식별자, 상기 제 2 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것을 특징으로 하는 방법.According to claim 11,
The identifier-based bi-directional connection information based on the second security module,
characterized in that it consists of an identifier of the second end communication device, an identifier of the second security module, and an identifier of the second security module. 제 1 종단 통신 장치와 제 2 종단 통신 장치 간의 연결 정책을 설정하는 정책 관리 장치에 있어서,
상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보와, 상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를, 연결 관계 정보 저장부에 저장하는 식별자 관리부;
서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 종단 장치 관리부; 및
상기 제 1, 2 연결 관계 정보와 상기 대응 관계를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장부에 저장하는 정책 관리부;를 포함하는 정책 관리 장치.A policy management device for setting a connection policy between a first end communication device and a second end communication device, comprising:
The first connection relationship information obtained by matching the identifier of the first end communication device with the identifier of the first security module connected to the first end communication device, the identifier of the second end communication device, and the second end communication an identifier management unit that stores second connection relationship information, which is matched with an identifier of a second security module connected to the device, in the connection relationship information storage unit;
an end device management unit that checks a correspondence between the first end communication device and the second end communication device based on service group information and unique information of the first and second end communication devices; and
policy storage of identifier-based bi-directional connection information based on the first security module and identifier-based bi-directional connection information based on the second security module by using the first and second connection relationship information and the corresponding relationship; A policy management unit comprising a; policy management unit to store in the unit. 제 13 항에 있어서,
제 1 보안 모듈로부터, 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 수신부;를 더 포함하고,
상기 식별자 관리부는,
상기 제 1 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 1 보안 모듈의 제 1 식별자와 매칭하는 것을 특징으로 하는 정책 관리 장치.According to claim 13,
A receiver configured to receive, from a first security module, an identifier of the first security module and unique information of the first end communication device;
The identifier management unit,
The policy management device, characterized in that assigning an identifier to the first terminal communication device and matching the assigned identifier with a first identifier of the first security module. 제 14 항에 있어서,
상기 수신부는,
상기 제 1 종단 통신 장치에 상기 제 1 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 상기 제 1 보안 모듈로부터 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 것을 특징으로 하는 정책 관리 장치.15. The method of claim 14,
the receiver,
and receiving an identifier of the first security module and unique information of the first end communication device from the first security module in response to an operation in which the first security module is communicatively connected to the first end communication device. policy management device. 제 13 항에 있어서,
제 2 보안 모듈로부터, 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 수신부;를 더 포함하고,
상기 식별자 관리부는,
상기 제 2 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 2 보안 모듈의 식별자와 매칭하는 것을 특징으로 하는 정책 관리 장치.According to claim 13,
A receiver configured to receive, from a second security module, an identifier of the second security module and unique information of the second end communication device;
The identifier management unit,
The policy management device, characterized in that assigning an identifier to the second terminal communication device and matching the assigned identifier with the identifier of the second security module. 제 16 항에 있어서,
상기 수신부는,
상기 제 2 종단 통신 장치에 상기 제 2 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 제 2 보안 모듈로부터 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 것을 특징으로 하는 정책 관리 장치.17. The method of claim 16,
the receiver,
Receiving an identifier of the second security module and unique information of the second end communication device from the second security module in response to an operation in which the second security module is communicatively connected to the second end communication device. policy management device. 제 13 항에 있어서,
상기 종단 장치 관리부는,
상기 제 1 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보와 상기 제 2 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보의 일치를 확인하고, 상기 제 1 종단 통신 장치의 식별자와 상기 제 2 종단 통신 장치의 식별자를 매칭한, 제 3 연결 관계 정보를 획득하는 것을 특징으로 하는 정책 관리 장치.According to claim 13,
The terminal device management unit,
The service group information identified as the unique information of the first-end communication device and the service group information identified as the unique information of the second-end communication device are matched, and the identifier of the first-end communication device and the second-end communication device A policy management device characterized in that for obtaining third connection relationship information matching the identifier of. 제 18 항에 있어서,
상기 종단 장치 관리부는,
상기 제 1 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 상기 제 1 종단 통신 장치의 식별자를 매칭하여 저장하고, 상기 2 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 매칭된 상기 제 1 종단 통신 장치의 식별자를 확인함으로써, 제 1, 2 종단 통신 장치의 서비스 그룹 정보의 일치를 확인하는 것을 특징으로 하는 정책 관리 장치.According to claim 18,
The terminal device management unit,
The service group information identified using the unique information of the first-end communication device is matched with the identifier of the first-end communication device and stored, and the service group information matched with the service group information identified using the unique information of the second-end communication device is stored. A policy management device characterized by confirming the matching of service group information of the first and second end communication devices by checking the identifier of the first end communication device. 제 18 항에 있어서,
상기 정책 관리부는,
상기 제 3 연결 관계 정보를 이용하여 상기 제 1, 2 연결 관계 정보를 조회하고, 조회된 상기 제 1, 2 연결 관계 정보를 이용하여 식별자들 기반의 상기 제 1, 2 종단 통신 장치 간의 전체 경로를 조합하며, 상기 전체 경로에서 상기 제 1 보안 모듈을 기준으로 한 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 양방향 연결 정보를 각각 정책 저장부에 저장하는 것을 특징으로 하는 정책 관리 장치.According to claim 18,
The policy management department,
The first and second connection relationship information is inquired using the third connection relationship information, and the entire path between the first and second end-end communication devices based on identifiers is determined using the retrieved first and second connection relationship information. and storing bi-directional connection information based on the first security module and bi-directional connection information based on the second security module in the policy storage unit in the entire path. 제 13 항에 있어서,
상기 정책 저장부는, 블록체인인 것을 특징으로 하는 정책 관리 장치.According to claim 13,
The policy storage unit is a policy management device, characterized in that the block chain. 제 13 항에 있어서,
상기 고유 정보들은, IP 주소 또는 MAC 주소인 것을 특징으로 하는 정책 관리 장치.According to claim 13,
The unique information is an IP address or a MAC address, characterized in that the policy management device. 제 13 항에 있어서,
상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는,
상기 제 1 종단 통신 장치의 식별자, 상기 제 1 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것을 특징으로 하는 정책 관리 장치.According to claim 13,
The bi-directional connection information based on the identifier based on the first security module,
The policy management device characterized in that it consists of an identifier of the first terminal communication device, an identifier of the first security module, and an identifier of the second security module. 제 23 항에 있어서,
상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는,
상기 제 2 종단 통신 장치의 식별자, 상기 제 2 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것을 특징으로 하는 정책 관리 장치.24. The method of claim 23,
The identifier-based bi-directional connection information based on the second security module,
The policy management device characterized in that it consists of an identifier of the second terminal communication device, an identifier of the second security module, and an identifier of the second security module.
KR1020180077308A 2018-07-03 2018-07-03 Apparatus and method establishing a policy of end-to-end communication KR102548430B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180077308A KR102548430B1 (en) 2018-07-03 2018-07-03 Apparatus and method establishing a policy of end-to-end communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180077308A KR102548430B1 (en) 2018-07-03 2018-07-03 Apparatus and method establishing a policy of end-to-end communication

Publications (2)

Publication Number Publication Date
KR20200004193A KR20200004193A (en) 2020-01-13
KR102548430B1 true KR102548430B1 (en) 2023-06-26

Family

ID=69153073

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180077308A KR102548430B1 (en) 2018-07-03 2018-07-03 Apparatus and method establishing a policy of end-to-end communication

Country Status (1)

Country Link
KR (1) KR102548430B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101778768B1 (en) * 2017-04-21 2017-09-18 (주)케이사인 METHOD OF CONTROLLING IoT DEVICE AND IoT DEVICE CONTROL SYSTEM FOR PERFORMING THE SAME
JP2017175373A (en) * 2016-03-23 2017-09-28 ソフトバンク株式会社 Setting information generation device, network control device, method and program

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101323092B1 (en) * 2010-02-12 2013-10-29 한국전자통신연구원 System and method for detecting copy of secure micro

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017175373A (en) * 2016-03-23 2017-09-28 ソフトバンク株式会社 Setting information generation device, network control device, method and program
KR101778768B1 (en) * 2017-04-21 2017-09-18 (주)케이사인 METHOD OF CONTROLLING IoT DEVICE AND IoT DEVICE CONTROL SYSTEM FOR PERFORMING THE SAME

Also Published As

Publication number Publication date
KR20200004193A (en) 2020-01-13

Similar Documents

Publication Publication Date Title
US7564795B2 (en) Obtaining per-port location information for wired LAN switches
US20080008109A1 (en) Method and apparatus for bridging wireless control networks
CN108429740A (en) A kind of method and device obtaining device identification
US10630551B2 (en) Method and apparatus for automatic networking of gateway device
CN106686129A (en) Load balancing method and load balancing system
JP2015192386A (en) Data transfer control device, data transfer control method and program
CN105450585B (en) A kind of information transferring method and device
JP2001320373A (en) Wireless lan system
KR20140122969A (en) Apparatus and method for identifying interoperability between object identifier based heterogeneous identifier node for next generation network
US9755833B2 (en) Identification information management system, method of generating and managing identification information, terminal, and generation and management programs
CN111083120B (en) Data transmission method and device, electronic equipment and storage medium
US10581673B2 (en) Abstracting wireless device to virtual Ethernet interface
KR102156206B1 (en) Apparatus and method for providing security to an end-to-end communication
TWI514822B (en) Wireless access point device, network system and network auto-establishing method of the same
CN114338153B (en) IPSec negotiation method and device
CN102447626A (en) Backbone network with policy driven routing
KR102548430B1 (en) Apparatus and method establishing a policy of end-to-end communication
CN109639707B (en) Data transmission method, device, system and medium based on gatekeeper
CN105612773A (en) Zeroconf profile transferring to enable fast roaming
JP5937563B2 (en) Communication base station and control method thereof
TW201517654A (en) Transmission path control system
CN104918221A (en) Terminal peripheral login, logout and standby processing method and system
KR102023115B1 (en) Communication method based on integrated flat id and system
KR20210051208A (en) Apparatus and method for providing security to an end-to-end communication
US8036218B2 (en) Technique for achieving connectivity between telecommunication stations

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant