KR102548430B1 - Apparatus and method establishing a policy of end-to-end communication - Google Patents
Apparatus and method establishing a policy of end-to-end communication Download PDFInfo
- Publication number
- KR102548430B1 KR102548430B1 KR1020180077308A KR20180077308A KR102548430B1 KR 102548430 B1 KR102548430 B1 KR 102548430B1 KR 1020180077308 A KR1020180077308 A KR 1020180077308A KR 20180077308 A KR20180077308 A KR 20180077308A KR 102548430 B1 KR102548430 B1 KR 102548430B1
- Authority
- KR
- South Korea
- Prior art keywords
- identifier
- communication device
- security module
- end communication
- information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
IoT 단말과 IoT 서비스 서버 등과 같은 종단 통신 장치 간의 연결시 사용할 식별자(ID : Identifier) 기반의 정책을 자동으로 설정하는 장치 및 방법이 개시된다. 일 측면에 따른 정책 관리 장치에서 제 1 종단 통신 장치와 제 2 종단 통신 장치 간의 연결 정책을 설정하는 방법은, 상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보를 저장하는 단계; 상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를 저장하는 단계; 서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 단계; 및 상기 제 1, 2 연결 관계 정보를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함한다.Disclosed is an apparatus and method for automatically setting an identifier (ID)-based policy to be used when a terminal communication device such as an IoT terminal and an IoT service server is connected. A method for setting a connection policy between a first end communication device and a second end communication device in a policy management device according to an aspect includes an identifier of the first end communication device and a first security module connected to the first end communication device. Storing first connection relationship information matching the identifier of; storing second connection relationship information obtained by matching an identifier of the second end-end communication device with an identifier of a second security module connected to the second end-end communication device; checking a correspondence between the first end communication device and the second end communication device based on service group information and unique information of the first and second end communication devices; and storing identifier-based bi-directional connection information based on the first security module and bi-directional connection information based on the identifier based on the second security module in a policy storage unit by using the first and second connection relationship information, respectively. including;
Description
본 발명은 IoT(Internet of Things) 기술에 관한 것으로서, 보다 구체적으로 IoT 단말과 IoT 서비스 서버 등과 같은 종단 통신 장치 간의 연결시 사용할 정책을 설정하는 장치 및 방법에 관한 것이다.The present invention relates to Internet of Things (IoT) technology, and more particularly, to an apparatus and method for setting a policy to be used when connecting an IoT terminal and an end-end communication device such as an IoT service server.
인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 네트워크에서, 사물 등 분산된 구성 요소들 간에 정보를 주고받아 처리하는 IoT(Internet of Things, 사물인터넷) 네트워크로 진화하고 있다. IoT(Internet of Things)란, 통신 가능한 모든 사물들을 네트워크에 연결하여 상호 통신 수행이 가능한 개념을 의미한다. 시스템적으로 인지할 수 있는 모든 객체인 Things는 근거리 및 원거리 통신 기능을 탑재하고, 센서 등을 통해 데이터를 생산할 수 있다. IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술 및 보안 기술과 같은 기술 요소들이 요구된다. 최근에는 사물 간의 연결을 위한 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 연구되고 있다. 이러한 IoT 서비스는 퍼블릭 네트워크(Public Network) 환경에서 제공된다. 즉 누구나 언제든지 IoT 네트워크에 접속할 수 있다. 이와 같이 IoT 서비스는 퍼블릭 네트워크 환경에서 제공되기 때문에 IoT 디바이스(IoT 단말이나 IoT 서비스 서버)는 퍼블릭 네트워크에 노출되어 보안이 취약할 수 있다. The Internet is evolving from a human-centered network in which humans create and consume information to an Internet of Things (IoT) network in which information is exchanged and processed between distributed components such as objects. The Internet of Things (IoT) refers to a concept capable of performing mutual communication by connecting all communicable things to a network. Things, which are all objects that can be recognized systematically, are equipped with short-distance and long-distance communication functions and can produce data through sensors. In order to implement IoT, technical elements such as sensing technology, wired and wireless communication and network infrastructure, service interface technology and security technology are required. Recently, technologies such as a sensor network for connection between objects, machine to machine (M2M), and machine type communication (MTC) have been studied. These IoT services are provided in a public network environment. In other words, anyone can access the IoT network at any time. As such, since the IoT service is provided in a public network environment, the IoT device (IoT terminal or IoT service server) may be exposed to the public network and security may be weak.
본 발명은 상술한 문제점을 해결하기 위해 제안된 것으로, IoT 단말과 IoT 서비스 서버 등과 같은 종단 통신 장치 간의 연결시 사용할 식별자(ID : Identifier) 기반의 정책을 자동으로 설정하는 장치 및 방법을 제공하는 데 목적이 있다.The present invention has been proposed to solve the above problems, to provide a device and method for automatically setting an identifier (ID: Identifier) based policy to be used when connecting an end-to-end communication device such as an IoT terminal and an IoT service server. There is a purpose.
일 측면에 따른 정책 관리 장치에서 제 1 종단 통신 장치와 제 2 종단 통신 장치 간의 연결 정책을 설정하는 방법은, 상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보를 저장하는 단계; 상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를 저장하는 단계; 서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 단계; 및 상기 제 1, 2 연결 관계 정보를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함한다.A method for setting a connection policy between a first end communication device and a second end communication device in a policy management device according to an aspect includes an identifier of the first end communication device and a first security module connected to the first end communication device. Storing first connection relationship information matching the identifier of; storing second connection relationship information obtained by matching an identifier of the second end-end communication device with an identifier of a second security module connected to the second end-end communication device; checking a correspondence between the first end communication device and the second end communication device based on service group information and unique information of the first and second end communication devices; and storing identifier-based bi-directional connection information based on the first security module and bi-directional connection information based on the identifier based on the second security module in a policy storage unit by using the first and second connection relationship information, respectively. including;
상기 제 1 연결 관계 정보를 저장하는 단계는, 제 1 보안 모듈로부터, 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 단계; 상기 제 1 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 1 보안 모듈의 제 1 식별자와 매칭하는 단계를 포함할 수 있다.The storing of the first connection relationship information may include receiving, from a first security module, an identifier of the first security module and unique information of the first end communication device; It may include assigning an identifier to the first terminal communication device and matching the assigned identifier with a first identifier of the first security module.
상기 고유 정보를 수신하는 단계는, 상기 제 1 종단 통신 장치에 상기 제 1 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 수행될 수 있다.The receiving of the unique information may be performed in response to an operation in which the first security module is communicatively connected to the first end communication device.
상기 제 2 연결 관계 정보를 저장하는 단계는, 제 2 보안 모듈로부터, 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 단계; 및 상기 제 2 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 2 보안 모듈의 식별자와 매칭하는 단계를 포함할 수 있다.The storing of the second connection relationship information may include receiving, from a second security module, an identifier of the second security module and unique information of the second end communication device; and assigning an identifier to the second terminal communication device and matching the assigned identifier with the identifier of the second security module.
상기 고유 정보를 수신하는 단계는, 상기 제 2 종단 통신 장치에 상기 제 2 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 수행될 수 있다.The receiving of the unique information may be performed in response to an operation in which the second security module is communicatively connected to the second end communication device.
상기 대응 관계를 확인하는 단계는, 상기 제 1 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보와 상기 제 2 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보의 일치를 확인하는 단계; 및 상기 제 1 종단 통신 장치의 식별자와 상기 제 2 종단 통신 장치의 식별자를 매칭한, 제 3 연결 관계 정보를 획득하는 단계;를 포함할 수 있다.The checking of the corresponding relationship may include: checking whether service group information identified as the unique information of the first-end communication device and service group information identified as the unique information of the second-end communication device match; and acquiring third connection relationship information obtained by matching the identifier of the first-end communication device with the identifier of the second-end communication device.
상기 서비스 그룹 정보의 일치를 확인하는 단계는, 상기 제 1 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 상기 제 1 종단 통신 장치의 식별자를 매칭하여 저장하는 단계; 및 상기 2 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 매칭된 상기 제 1 종단 통신 장치의 식별자를 확인하는 단계;를 포함할 수 있다.The checking of service group information may include matching and storing an identifier of the first end-point communication device with service group information checked using the unique information of the first end-point communication device; and identifying an identifier of the first-end communication device matched to service group information identified using the unique information of the second-end communication device.
상기 정책 저장수단에 저장하는 단계는, 상기 제 3 연결 관계 정보를 이용하여 상기 제 1, 2 연결 관계 정보를 조회하는 단계; 조회된 상기 제 1, 2 연결 관계 정보를 이용하여 식별자들 기반의 상기 제 1, 2 종단 통신 장치 간의 전체 경로를 조합하는 단계; 및 상기 전체 경로에서 상기 제 1 보안 모듈을 기준으로 한 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함할 수 있다.The storing of the policy in the storage unit may include: searching for the first and second connection relationship information using the third connection relationship information; combining all paths between the first and second end communication devices based on identifiers using the inquired first and second connection relationship information; and storing bi-directional connection information based on the first security module and bi-directional connection information based on the second security module in a policy storage unit in the entire path.
상기 정책 저장수단은, 블록체인일 수 있다.The policy storage unit may be a blockchain.
상기 고유 정보들은, IP 주소 또는 MAC 주소일 수 있다.The unique information may be an IP address or a MAC address.
상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는, 상기 제 1 종단 통신 장치의 식별자, 상기 제 1 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것일 수 있다.The bidirectional connection information based on the identifier based on the first security module may be composed of an identifier of the first terminal communication device, an identifier of the first security module, and an identifier of the second security module.
상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는, 상기 제 2 종단 통신 장치의 식별자, 상기 제 2 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것일 수 있다.The bidirectional connection information based on the identifier based on the second security module may be composed of an identifier of the second terminal communication device, an identifier of the second security module, and an identifier of the second security module.
다른 측면에 따른 제 1 종단 통신 장치와 제 2 종단 통신 장치 간의 연결 정책을 설정하는 정책 관리 장치는, 상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보와, 상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를, 연결 관계 정보 저장부에 저장하는 식별자 관리부; 서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 종단 장치 관리부; 및 상기 제 1, 2 연결 관계 정보를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장부에 저장하는 정책 관리부;를 포함한다.A policy management device for setting a connection policy between a first-end communication device and a second-end communication device according to another aspect includes an identifier of the first-end communication device and an identifier of a first security module connected to the first-end communication device. , the first connection relationship information matched, the identifier of the second end-end communication device, and the second connection relationship information matched with the identifier of the second security module connected to the second end-end communication device, the connection relationship information is stored. an identifier management unit stored in the unit; an end device management unit that checks a correspondence between the first end communication device and the second end communication device based on service group information and unique information of the first and second end communication devices; and storing identifier-based bi-directional connection information based on the first security module and identifier-based bi-directional connection information based on the second security module using the first and second connection relationship information, respectively, in a policy storage unit. It includes; a policy management unit that does.
상기 정책 관리 장치는, 제 1 보안 모듈로부터, 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 수신부;를 더 포함하고, 상기 식별자 관리부는, 상기 제 1 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 1 보안 모듈의 제 1 식별자와 매칭할 수 있다.The policy management device further includes a receiver configured to receive, from a first security module, an identifier of the first security module and unique information of the first end-point communication device, and the identifier management unit includes the first end-point communication device. An identifier may be assigned to and the assigned identifier may be matched with the first identifier of the first security module.
상기 수신부는, 상기 제 1 종단 통신 장치에 상기 제 1 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 상기 제 1 보안 모듈로부터 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신할 수 있다.The receiving unit receives an identifier of the first security module and unique information of the first end communication device from the first security module in response to an operation in which the first security module is communicatively connected to the first end communication device. can receive
상기 정책 관리 장치는, 제 2 보안 모듈로부터, 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 수신부;를 더 포함하고, 상기 식별자 관리부는, 상기 제 2 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 2 보안 모듈의 식별자와 매칭할 수 있다.The policy management device further includes a receiver configured to receive, from a second security module, an identifier of the second security module and unique information of the second end communication device, and the identifier management unit includes the second end communication device. An identifier may be assigned to and the assigned identifier may be matched with an identifier of the second security module.
상기 수신부는, 상기 제 2 종단 통신 장치에 상기 제 2 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 제 2 보안 모듈로부터 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신할 수 있다.The reception unit receives an identifier of the second security module and unique information of the second end communication device from the second security module in response to an operation in which the second security module is communicably connected to the second end communication device. can do.
상기 종단 장치 관리부는, 상기 제 1 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보와 상기 제 2 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보의 일치를 확인하고, 상기 제 1 종단 통신 장치의 식별자와 상기 제 2 종단 통신 장치의 식별자를 매칭한, 제 3 연결 관계 정보를 획득할 수 있다.The end device management unit checks service group information identified as the unique information of the first end communication device and service group information identified as the unique information of the second end communication device, and identifies the identifier of the first end communication device and Third connection relationship information matching the identifier of the second end communication device may be obtained.
상기 종단 장치 관리부는, 상기 제 1 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 상기 제 1 종단 통신 장치의 식별자를 매칭하여 저장하고, 상기 2 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 매칭된 상기 제 1 종단 통신 장치의 식별자를 확인함으로써, 제 1, 2 종단 통신 장치의 서비스 그룹 정보의 일치를 확인할 수 있다. The end device management unit matches and stores the identifier of the first end communication device with the service group information identified using the unique information of the first end communication device, and stores the identified service using the unique information of the second end communication device. Matching of service group information of the first and second end communication devices may be confirmed by checking the identifier of the first end communication device matched with the group information.
상기 정책 관리부는, 상기 제 3 연결 관계 정보를 이용하여 상기 제 1, 2 연결 관계 정보를 조회하고, 조회된 상기 제 1, 2 연결 관계 정보를 이용하여 식별자들 기반의 상기 제 1, 2 종단 통신 장치 간의 전체 경로를 조합하며, 상기 전체 경로에서 상기 제 1 보안 모듈을 기준으로 한 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 양방향 연결 정보를 각각 정책 저장부에 저장할 수 있다.The policy manager searches the first and second connection relationship information using the third connection relationship information, and uses the retrieved first and second connection relationship information to perform the first and second end communication based on identifiers. Full paths between devices may be combined, and bidirectional connection information based on the first security module and bidirectional connection information based on the second security module may be stored in a policy storage unit in the entire path.
상기 정책 저장부는, 블록체인일 수 있고, 상기 고유 정보들은, IP 주소 또는 MAC 주소일 수 있다.The policy storage unit may be a block chain, and the unique information may be an IP address or a MAC address.
상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는, 상기 제 1 종단 통신 장치의 식별자, 상기 제 1 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것일 수 있다.The bidirectional connection information based on the identifier based on the first security module may be composed of an identifier of the first terminal communication device, an identifier of the first security module, and an identifier of the second security module.
상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는, 상기 제 2 종단 통신 장치의 식별자, 상기 제 2 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것일 수 있다.The bidirectional connection information based on the identifier based on the second security module may be composed of an identifier of the second terminal communication device, an identifier of the second security module, and an identifier of the second security module.
일 실시예에서, 네트워크 구조에 따라 변동성이 높은 IP 주소 기반의 정책을 탈피하여 식별자(ID : Identifier) 기반 정책을 이용함으로써 퍼블릭 네트워크를 통한 IoT 서비스의 보안을 높인다.In one embodiment, security of IoT services through a public network is increased by using an identifier (ID)-based policy by breaking away from an IP address-based policy having high variability according to a network structure.
일 실시예에서, 종단 통신 장치에 보안 모듈을 통신 가능하게 연결하면 종단 통신 장치에 식별자(ID : Identifier)를 할당하고 식별자 기반 정책을 자동으로 설정함으로써 레거시 시스템의 변화 없이 모든 IoT 서비스에 보안을 제공할 수 있다. In one embodiment, security is provided to all IoT services without changing the legacy system by assigning an identifier (ID: Identifier) to the end communication device and automatically setting an identifier-based policy when the security module is communicably connected to the end communication device. can do.
일 실시예에서, 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 정책으로서 기록함으로써 퍼블릭 네트워크를 통한 종단 간(End-To-End) 통신에서 각 종단의 보안 모듈은 그 하위의 종단 통신 장치와 상대방 종단의 보안 모듈만 식별하면 된다. 따라서 종단 통신 장치의 퍼블릭 네트워크를 통한 노출을 최소화함으로써 보안을 강화한다. In one embodiment, by recording bi-directional connection information based on an identifier based on a security module as a policy, in end-to-end communication through a public network, the security module of each end communicates with the lower end communication device. Only the security module on the other end needs to be identified. Therefore, security is strengthened by minimizing the exposure of the terminal communication device through the public network.
도 1은 본 발명의 일 실시예에 따른 종단(End-to-End) 간 통신 시스템을 나타낸 도면이다.
도 2는 도 1의 정책 관리 장치의 블럭도이다.
도 3은 도 1의 종단(End-to-End) 간 통신 시스템에서 정책 관리 장치(150)의 동작을 설명하는 흐름도이다.
도 4는 도 1의 종단 간 통신 시스템의 실시예로서 IoT 단말과 IoT 서비스 서버 간 통신을 나타낸 도면이다.
도 5는 도 4의 시스템에서 IoT 서비스 서버와 제 2 보안 모듈 간의 ID 연결 관계 정보를 생성하는 방법을 설명하는 흐름도이다.
도 6은 도 4의 시스템에서 IoT 단말과 IoT 서비스 서버 간의 연결 정책을 설정하는 방법을 설명하는 흐름도이다.1 is a diagram illustrating an end-to-end communication system according to an embodiment of the present invention.
2 is a block diagram of the policy management apparatus of FIG. 1;
FIG. 3 is a flowchart illustrating the operation of the
4 is a diagram illustrating communication between an IoT terminal and an IoT service server as an embodiment of the end-to-end communication system of FIG. 1 .
5 is a flowchart illustrating a method of generating ID connection relationship information between an IoT service server and a second security module in the system of FIG. 4 .
6 is a flowchart illustrating a method of setting a connection policy between an IoT terminal and an IoT service server in the system of FIG. 4 .
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.The above-described objects, features and advantages will become more apparent through the following detailed description in conjunction with the accompanying drawings, and accordingly, those skilled in the art to which the present invention belongs can easily implement the technical idea of the present invention. There will be. In addition, in describing the present invention, if it is determined that a detailed description of a known technology related to the present invention may unnecessarily obscure the subject matter of the present invention, the detailed description will be omitted. Hereinafter, a preferred embodiment according to the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 일 실시예에 따른 종단(End-to-End) 간 통신 시스템을 나타낸 도면이다. 도 1을 참조하면, 본 실시예에 따른 종단 간 통신 시스템은, 종단 통신 장치들(110, 130), 보안 모듈들(120, 140), 정책 관리 장치(150) 및 정책 저장 장치(160)를 포함하고 이들은 통신망(170)으로 연결된다.1 is a diagram illustrating an end-to-end communication system according to an embodiment of the present invention. Referring to FIG. 1 , the end-to-end communication system according to the present embodiment includes end-to-
종단 통신 장치들(110, 130)은 통신 경로 상의 끝에 존재하는 통신 장치로서, 예를 들어, 가스 센서, 화재 감지 센서, 카메라, 인공지능 스피커 등의 IoT 단말이나, 이러한 IoT 단말과 통신하여 IoT 서비스를 제공하는 IoT 서비스 서버를 포함한다. IoT 단말은 메모리와 프로세서 및 통신 회로 등을 포함하여 IoT 서비스 서버와 통신할 수 있고 또는 다른 IoT 단말과 P2P 통신을 할 수 있다. IoT 서비스 서버는 IoT 단말과 연결되어 IoT 단말로부터 주기적으로 상태 정보를 수신하고 또한 IoT 단말의 펌웨어를 업데이트하며 IoT 단말로 콘텐츠 스트리밍 등의 서비스를 제공할 수 있다.The
보안 모듈들(120, 140)은 종단 통신 장치들(110, 130)에 통신 가능하게 연결되어 종단 통신 장치(110, 130)를 통신망(170)을 통한 외부 공격으로부터 보호한다. 보안 모듈들(120, 140)은 통신 계층상 종단 통신 장치들(110, 130)의 상위 계층에 위치한다. 보안 모듈들(120, 140)은 물리적인 어댑터 형태로 제작되어 종단 통신 장치(110, 130)에 물리적으로 연결될 수 있다. 이 경우, 보안 모듈들(120, 140)은 메모리 및 프로세서 그리고 통신 회로를 포함할 수 있다. 또는 보안 모듈들(120, 140)은 소프트웨어로 제작되어 종단 통신 장치들(110, 130)의 메모리에 저장되어 실행될 수 있다. 보안 모듈들(120, 140)은 자체 저장소에 다른 보안 모듈과 구별될 수 있는 임의의 식별자(ID : Identifier, 이하에서 ID라 함)가 부여되어 저장된다. The
보안 모듈들(120, 140)은, 종단 통신 장치들(110, 130)로부터 수신된 패킷을 외부로 전송할 때, 정책 저장 장치(160)로 정책을 질의하고, 정책 조회 결과에 따라 패킷의 외부로의 전송 여부를 결정한다. 이때 정책은 식별자(ID) 기반의 정책으로서, 보안 모듈(120, 140)을 기준으로 한 양방향 연결 정보이다. 또한, 보안 모듈들(120, 140)은, 외부로부터 종단 통신 장치들(110, 130)로 향하는 패킷이 수신될 때, 정책 저장 장치(160)로 정책을 질의하고, 정책 조회 결과에 따라 패킷의 내부로의 전송 여부를 결정한다. 이를 위해 보안 모듈들(120, 140)은, 종단 통신 장치들(110, 130)에 최초로 통신 가능하게 연결될 때, 자신의 ID와 종단 통신 장치들(110, 130)의 고유 정보, 예를 들어 IP 주소 또는 MAC 주소를 정책 관리 장치(150)로 전송하여 종단 통신 장치들(110, 130) 간의 연결 정책이 설정되도록 한다.The
보안 모듈(120, 140)은, 종단 통신 장치(110, 130)로부터 수신된 패킷을 외부로 전송할 때, 정책 저장 장치(160)로 토큰 시드를 요청하고 정책 저장 장치(160)로부터 수신된 토큰 시드를 이용하여 생성한 토큰을 패킷에 삽입하여 전송한다. 또한, 보안 모듈들(120, 140)은, 외부로부터 종단 통신 장치들(110, 130)로 향하는 패킷이 수신될 때, 정책 저장 장치(160)로 패킷을 전송한 측에서 사용한 토큰 시드를 요청하고, 정책 저장 장치(160)로부터 수신된 토큰 시드를 이용하여 패킷에 포함된 토큰을 검증한다. 보안 모듈들(120, 140)은, 토큰 검증에 성공시에 외부로부터 수신된 패킷에서 토큰을 제거하여 내부의 종단 통신 장치(110, 130)로 전달한다. When the
정책 관리 장치(150)는, ID 기반의 종단 통신 연결 정책을 설정하여 정책 저장 장치(160)에 저장한다. 여기서 ID 기반의 종단 통신 연결 정책은 보안 모듈(120, 140)을 기준으로 한 ID 기반의 양방향 연결 정보를 포함한다. 예를 들어, 상기 제 1 보안 모듈(120)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 1 종단 통신 장치(110)의 ID, 제 1 보안 모듈(120)의 ID 그리고 제 2 보안 모듈(140)의 ID로 이루어진 연결 정보이다. 그리고 제 2 보안 모듈(140)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 2 종단 통신 장치(130)의 ID, 제 2 보안 모듈(140)의 ID, 제 1 보안 모듈(120)의 ID로 이루어진 연결 정보이다. The
정책 관리 장치(150)는, 종단 통신 장치(110, 130)에 보안 모듈(120, 140)이 통신 가능하게 연결되어 동작할 때, 보안 모듈(120, 140)로부터 자신의 ID와 보안 모듈(120, 140)에 연결된 종단 통신 장치(110, 130)의 고유 정보, 예를 들어, IP 주소나 MAC 주소를 수신한다. 정책 관리 장치(150)는, ID가 없는 종단 통신 장치(110, 130)에 ID를 부여한 후 종단 통신 장치(110, 130)와 보안 모듈(120, 140) 간의 ID 연결 관계 정보를 생성한다. 정책 관리 장치(150)는, 서로 동일한 서비스 그룹에 속하는 종단 통신 장치들(110, 130)을 확인하고, 이들의 보안 모듈(120, 140)들과의 ID 연결 관계 정보를 조합하여 종단 통신 장치들(110, 130) 간의 ID 기반의 전체 경로를 조합한다. 그리고 정책 관리 장치(150)는 전체 경로에서 보안 모듈(120, 140)을 기준으로 한 양방향 연결 정보를 생성하여 정책 저장 장치(160)에 저장한다. The
정책 저장 장치(160)는 정책 관리 장치(150)에서 생성된 ID 기반의 종단 통신 연결 정책을 수신하여 저장한다. ID 기반의 종단 통신 연결 정책은 보안 모듈(120, 140)을 기준으로 한 ID 기반의 양방향 연결 정보를 포함한다. 정책 저장 장치(160)는 블록체인 네트워크를 구성하는 노드들을 포함한다. 블록체인 네트워크를 구성하는 노드들은 주기적으로 블록을 생성하여 트랜잭션을 기록하여 저장하는데, 본 발명의 실시예에서 트랜잭션은 상기 ID 기반의 종단 통신 연결 정책을 포함한다. 블록체인 네트워크를 구성하는 노드들에서 생성되는 블록들은 체인처럼 연결된 상태로 만들어지며, 각 노드들은 동일한 블록을 공유하고 있어, 블록에 저장된 트랜잭션을 위조하려면 노드들의 상당수를 해킹해야만 한다. 또한 블록에 트랜잭션이 일정 이상 기록되면 노드들은 서로 간의 합의 과정을 거쳐 트랜잭션들이 서로 동일하게 축적되도록 한다.The
도 2는 도 1의 정책 관리 장치의 블럭도이다. 정책 관리 장치(150)는 메모리, 메모리 제어기, 하나 이상의 프로세서(CPU), 주변 인터페이스, 입출력(I/O) 서브시스템, 디스플레이 장치, 입력 장치 및 통신 회로를 포함할 수 있다. 이러한 구성요소는 하나 이상의 통신 버스 또는 신호선을 통하여 통신한다. 이러한 여러 구성요소는 하나 이상의 신호 처리 및/또는 애플리케이션 전용 집적 회로(application specific integrated circuit)를 포함하여, 하드웨어, 소프트웨어 또는 하드웨어와 소프트웨어 둘의 조합으로 구현될 수 있다. 2 is a block diagram of the policy management apparatus of FIG. 1; The
메모리는 고속 랜덤 액세스 메모리를 포함할 수 있고, 또한 하나 이상의 자기 디스크 저장 장치, 플래시 메모리 장치와 같은 불휘발성 메모리, 또는 다른 불휘발성 반도체 메모리 장치를 포함할 수 있다. 일부 실시예에서, 메모리는 하나 이상의 프로세서로부터 멀리 떨어져 위치하는 저장 장치, 예를 들어 RF 회로와, 인터넷, 인트라넷, LAN(Local Area Network), WLAN(Wide LAN), SAN(Storage Area Network) 등, 또는 이들의 적절한 조합과 같은 통신 네트워크(도시하지 않음)를 통하여 액세스되는 네트워크 부착형(attached) 저장 장치를 더 포함할 수 있다. 프로세서 및 주변 인터페이스와 같은 장치의 다른 구성요소에 의한 메모리로의 액세스는 메모리 제어기에 의하여 제어될 수 있다.The memory may include high-speed random access memory, and may also include one or more magnetic disk storage devices, non-volatile memory such as flash memory devices, or other non-volatile semiconductor memory devices. In some embodiments, memory is a storage device located remotely from one or more processors, such as RF circuitry, the Internet, an intranet, a local area network (LAN), a wide LAN (WLAN), a storage area network (SAN), and the like, or a network attached storage device accessed through a communication network (not shown), such as a suitable combination thereof. Access to memory by other components of the device, such as the processor and peripheral interface, may be controlled by the memory controller.
주변 인터페이스는 장치의 입출력 주변 장치를 프로세서 및 메모리와 연결한다. 하나 이상의 프로세서는 다양한 소프트웨어 프로그램 및/또는 메모리에 저장되어 있는 명령어 세트를 실행하여 시스템을 위한 여러 기능을 수행하고 데이터를 처리한다. 일부 실시예에서, 주변 인터페이스, 프로세서 및 메모리 제어기는 칩과 같은 단일 칩 상에서 구현될 수 있다. 일부 다른 실시예에서, 이들은 별개의 칩으로 구현될 수 있다.The peripheral interface connects the input/output peripherals of the device with the processor and memory. One or more processors execute various software programs and/or sets of instructions stored in memory to perform various functions and process data for the system. In some embodiments, the peripheral interface, processor and memory controller may be implemented on a single chip such as a chip. In some other embodiments, they may be implemented as separate chips.
I/O 서브시스템은 디스플레이 장치, 입력 장치와 같은 장치의 입출력 주변장치와 주변 인터페이스 사이에 인터페이스를 제공한다. 디스플레이 장치는 LCD(liquid crystal display) 기술 또는 LPD(light emitting polymer display) 기술을 사용할 수 있고, 이러한 디스플레이 장치는 용량형, 저항형, 적외선형 등의 터치 디스플레이일 수 있다.The I/O subsystem provides an interface between peripheral interfaces and input/output peripherals of devices such as display devices and input devices. The display device may use a liquid crystal display (LCD) technology or a light emitting polymer display (LPD) technology, and the display device may be a capacitive, resistive, or infrared touch display.
프로세서는 시스템에 연관된 동작을 수행하고 명령어들을 수행하도록 구성된 프로세서로서, 예를 들어, 메모리로부터 검색된 명령어들을 이용하여, 시스템의 컴포넌트 간의 입력 및 출력 데이터의 수신과 조작을 제어할 수 있다. 일부 실시예에서, 소프트웨어 구성요소는 운영 체제, 그래픽 모듈(명령어 세트), 본 발명을 위한 동작을 수행하기 위한 프로그램이 탑재(설치)될 수 있다. 운영 체제는, 예를 들어, 다윈(Darwin), RTXC, LINUX, UNIX, OSX, WINDOWS 또는 VxWorks, 안드로이드, iOS 등과 같은 내장 운영체제일 수 있고, 일반적인 시스템 태스크(task)(예를 들어, 메모리 관리, 저장 장치 제어, 전력 관리 등)를 제어 및 관리하는 다양한 소프트웨어 구성요소 및/또는 장치를 포함하고, 다양한 하드웨어와 소프트웨어 구성요소 사이의 통신을 촉진시킨다.A processor is a processor configured to perform operations associated with a system and to execute instructions, such as to control the receipt and manipulation of input and output data between components of the system using instructions retrieved from memory. In some embodiments, software components may be loaded (installed) with an operating system, a graphics module (instruction set), and a program for performing operations for the present invention. The operating system may be, for example, a built-in operating system such as Darwin, RTXC, LINUX, UNIX, OSX, WINDOWS or VxWorks, Android, iOS, etc., and performs general system tasks (eg, memory management, storage device control, power management, etc.) and facilitates communication between the various hardware and software components.
통신 회로는 이더넷 통신 회로 및 RF 회로를 포함할 수 있다. 이더넷 통신 회로는 유선 통신을 수행하고, RF 회로는 전자파를 송수신한다. RF 회로는 전기 신호를 전자파로 또는 그 반대로 변환하며 이 전자파를 통하여 통신 네트워크, 다른 이동형 게이트웨이 및 통신 장치와 통신한다. RF 회로는 예를 들어 안테나 시스템, RF 트랜시버, 하나 이상의 증폭기, 튜너, 하나 이상의 오실레이터, 디지털 신호 처리기, CODEC 칩셋, 메모리 등을 포함하지만 이에 한정되지 않는 이러한 기능을 수행하기 위한 주지의 회로를 포함할 수 있다. RF 회로는 셀룰러 전화 네트워크, 무선 LAN 및/또는 MAN(metropolitan area network)와 같은 무선 네트워크, 그리고 근거리 무선 통신에 의하여 다른 장치와 통신할 수 있다.Communication circuitry may include Ethernet communication circuitry and RF circuitry. The Ethernet communication circuit performs wired communication, and the RF circuit transmits and receives electromagnetic waves. RF circuitry converts electrical signals into electromagnetic waves and vice versa, and communicates with communication networks, other mobile gateways, and communication devices through these electromagnetic waves. The RF circuitry may include known circuitry for performing these functions, including but not limited to, for example, an antenna system, an RF transceiver, one or more amplifiers, a tuner, one or more oscillators, a digital signal processor, a CODEC chipset, a memory, and the like. can The RF circuitry may communicate with other devices by means of cellular telephone networks, wireless networks such as wireless LANs and/or metropolitan area networks (MANs), and short-range wireless communications.
도 2에 도시된 바와 같이, 수신부(210), 식별자 관리부(220), 연결 관계 정보 DB(230), 서비스 그룹 식별부(240), 서비스 그룹 정보 DB(250), 종단 장치 관리부(260), 정책 관리부(270)를 포함한다. 수신부(210), 식별자 관리부(220), 서비스 그룹 식별부(240), 종단 장치 관리부(260) 및 정책 관리부(270)는 프로그램으로 구현되어 메모리에 저장된 후 프로세서에 의해 실행될 수 있고, 또는 하드웨어와 소프트웨어의 조합으로 구현될 수도 있다.As shown in FIG. 2, a receiving
수신부(210)는, 종단 통신 장치(110, 130)에 보안 모듈(120, 140)이 통신 가능하게 연결되어 동작할 때, 보안 모듈(120, 140)로부터 자신의 ID와 보안 모듈(120, 140)에 연결된 종단 통신 장치(110, 130)의 고유 정보, 예를 들어, IP 주소나 MAC 주소를 수신한다. 예를 들어, 제 1 보안 모듈(120)로부터 그의 ID와 제 1 종단 통신 장치(110)의 MAC 주소를 수신한다. 제 2 보안 모듈(140)로부터는 그의 ID와 제 2 종단 통신 장치(130)의 IP 주소를 수신한다. When the
식별자 관리부(220)는, ID가 없는 종단 통신 장치(110, 130)에 ID를 부여한 후 종단 통신 장치(110, 130)와 보안 모듈(120, 140) 간의 ID 연결 관계 정보를 생성하여 연결 관계 정보 DB(230)에 저장한다. 예를 들어, 상기 수신부(210)에 제 1 보안 모듈(120)로부터 그의 ID와 제 1 종단 통신 장치(110)의 MAC 주소가 수신되었을 때, 식별자 관리부(220)는, 제 1 종단 통신 장치(110)에 임시적인 ID를 부여하고, 제 1 보안 모듈(120)의 ID와 제 1 종단 통신 장치(110)의 ID를 매칭한, 연결 관계 정보를 연결 관계 정보 DB(230)에 저장한다. 또한, 상기 수신부(210)에 제 2 보안 모듈(140)로부터 그의 ID와 제 2 종단 통신 장치(130)의 IP 주소가 수신되었을 때, 식별자 관리부(220)는, 제 2 종단 통신 장치(130)에 임시적인 ID를 부여하고, 제 2 보안 모듈(140)의 ID와 제 2 종단 통신 장치(130)의 ID를 매칭한, 연결 관계 정보를 연결 관계 정보 DB(230)에 저장한다.The
서비스 그룹 식별부(240)는, 서비스 그룹 정보 DB(250)에 저장된 정보를 참조하여 보안 모듈들(120, 140)에 연결된 종단 통신 장치들(110, 130)의 서비스 그룹을 확인한다. 서비스 그룹 식별부(240)는, 수신부(210)로부터 종단 통신 장치(110, 130)의 고유 정보, 예를 들어, IP 주소나 MAC 주소를 수신하고, 그 수신된 고유 정보를 이용하여 서비스 그룹 정보 DB(250)에서 해당하는 서비스 그룹 정보를 확인한다. 서비스 그룹 정보 DB(250)에는 서비스 그룹별로 해당 서비스 그룹명, 해당 서비스 그룹에 속하는 종단 통신 장치들(110, 130)의 MAC 주소 또는 IP 주소의 목록이 저장된다. 예를 들어, 삼성전자에서 IoT 서비스를 제공한다면, IoT 서비스를 제공하는 플랫폼 서버의 IP 주소와 그 IoT 서비스를 제공하는 삼성전자에서 제조하여 판매하는 IoT 단말들의 MAC 주소가 서비스 그룹 정보 DB(250)에 저장된다. The service
종단 장치 관리부(260)는, 상기 서비스 그룹 식별부(240)에서 확인한 종단 통신 장치들(110, 130)의 서비스 그룹 정보를 이용하여 종단 통신 장치들(110, 130)의 대응 관계를 확인한다. 종단 장치 관리부(260)는, 대응 관계가 확인된 종단 통신 장치들(110, 130)의 ID들을 식별자 관리부(220)로부터 수신하고 그 수신된 ID들을 매칭한 연결 관계 정보를 생성한다. 종단 장치 관리부(260)는 그 생성한 종단 통신 장치들(110, 130)의 ID 연결 관계 정보를 연결 관계 정보 DB(230)에 저장할 수 있다. The end
실시예에 따라, 종단 장치 관리부(260)는, 종단 통신 장치(110, 130) 중 어느 한 종단 통신 장치(예, 110)의 서비스 그룹 정보가 서비스 그룹 식별부(240)로부터 수신되면, 식별자 관리부(220)로부터 수신된 해당 종단 통신 장치(110)의 ID를 서비스 그룹 정보 DB(250)의 해당 서비스 그룹에 매칭하여 저장한다. 그리고 종단 장치 관리부(260)는, 다른 종단 통신 장치(130)의 서비스 그룹 정보가 서비스 그룹 식별부(240)로부터 수신되면, 그 수신된 서비스 그룹 정보를 이용하여 서비스 그룹 정보 DB(250)에 종단 통신 장치(110)의 ID를 질의하여 수신한 후, 수신된 종단 통신 장치(110)의 ID와 식별자 관리부(220)로부터 수신되는 종단 통신 장치(130)의 ID와 매칭하여 종단 통신 장치(110, 130) 간의 ID 연결 관계 정보를 획득할 수 있다.Depending on the embodiment, when service group information of any one end communication device (eg, 110) among the
정책 관리부(270)는, 연결 관계 정보 DB(230)에 저장된 종단 통신 장치들(110, 130)과 보안 모듈들(120, 140) 간의 ID 연결 관계 정보와, 상기 종단 장치 관리부(260)에서 확인된 종단 통신 장치들(110, 130)의 대응 관계, 구체적으로는 종단 통신 장치들(110, 130) 간의 ID 연결 관계 정보를 이용하여, 보안 모듈(120, 140)을 기준으로 한 ID 기반의 양방향 연결 정보를 생성하고 이를 정책 저장 장치(160)로 전송하여 저장한다. 구체적으로, 정책 관리부(270)는, 종단 통신 장치들(110, 130) 간의 ID 연결 관계 정보를 이용하여, 연결 관계 정보 DB(230)에서 종단 통신 장치들(110, 130)과 보안 모듈들(120, 140) 간의 ID 연결 관계 정보를 조회하고, 조회된 종단 통신 장치들(110, 130)과 보안 모듈들(120, 140) 간의 ID 연결 관계 정보를 이용하여 ID 기반의 종단 통신 장치(110, 130) 간의 전체 경로를 조합한다. 그리고 정책 관리부(270)는 상기 전체 경로에서 예를 들어, 제 1 보안 모듈(120)을 기준으로 한 양방향 연결 정보와 제 2 보안 모듈(140)을 기준으로 한 양방향 연결 정보를 각각 정책 저장 장치(160)에 전송하여 저장한다. 예를 들어, 상기 제 1 보안 모듈(120)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 1 종단 통신 장치(110)의 ID, 제 1 보안 모듈(120)의 ID 그리고 제 2 보안 모듈(140)의 ID로 이루어진 연결 정보이다. 그리고 제 2 보안 모듈(140)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 2 종단 통신 장치(130)의 ID, 제 2 보안 모듈(140)의 ID, 제 1 보안 모듈(120)의 ID로 이루어진 연결 정보이다. The
도 3은 도 1의 종단(End-to-End) 간 통신 시스템에서 정책 관리 장치(150)의 동작을 설명하는 흐름도이다. FIG. 3 is a flowchart illustrating the operation of the
단계 301에서, 정책 관리 장치(150)는, 제 1 종단 통신 장치(110)의 ID와 제 1 보안 모듈(120)의 ID를 매칭한 연결 관계 정보를 생성한다. 정책 관리 장치(150)는, 제 1 보안 모듈(120)로부터 그의 ID와 제 1 종단 통신 장치(110)의 IP 주소 또는 MAC 주소가 수신되었을 때, 제 1 종단 통신 장치(110)에 임시적인 ID를 부여하고, 제 1 보안 모듈(120)의 ID와 제 1 종단 통신 장치(110)의 ID를 매칭한, 연결 관계 정보를 연결 관계 정보 DB(230)에 저장한다.In step 301, the
단계 302에서, 정책 관리 장치(150)는, 제 2 종단 통신 장치(130)의 ID와 제 2 보안 모듈(140)의 ID를 매칭한 연결 관계 정보를 생성한다. 정책 관리 장치(150)는, 제 2 보안 모듈(140)로부터 그의 ID와 제 2 종단 통신 장치(130)의 IP 주소 또는 MAC 주소가 수신되었을 때, 제 2 종단 통신 장치(130)에 임시적인 ID를 부여하고, 제 2 보안 모듈(140)의 ID와 제 2 종단 통신 장치(130)의 ID를 매칭한, 연결 관계 정보를 연결 관계 정보 DB(230)에 저장한다.In step 302, the
단계 S303에서, 정책 관리 장치(150)는, 제 1, 2 종단 통신 장치들(110, 130)을 포함하는 종단 통신 장치들의 서비스 그룹 정보와 제 1, 2 종단 통신 장치들(110, 130)의 고유 정보, 예를 들어 IP 주소 또는 MAC 주소에 기초하여 제 1 종단 통신 장치(110)와 상기 제 2 종단 통신 장치(130)의 대응 관계를 확인한다. 정책 관리 장치(150)는, 보안 모듈들(120, 140)로부터 수신된 종단 통신 장치(110, 130)의 고유 정보, 예를 들어, IP 주소나 MAC 주소를 이용하여 서비스 그룹 정보 DB(250)에서 해당하는 서비스 그룹 정보를 확인하여 동일한지 확인한다. 정책 관리 장치(150)는, 대응 관계가 확인된 종단 통신 장치들(110, 130) 간의 ID 연결 관계 정보를 생성한다. 실시예에 따라, 정책 관리 장치(150)는, 제 1 종단 통신 장치(110)의 IP 주소나 MAC 주소를 이용하여 서비스 그룹 정보를 확인한 후 그 서비스 그룹 정보에 제 1 종단 통신 장치(110)의 ID를 매칭하여 저장한다. 그리고 정책 관리 장치(150)는 제 2 종단 통신 장치(130)의 IP 주소나 MAC 주소를 이용하여 서비스 그룹 정보에 매칭된 제 1 종단 통신 장치(110)의 ID를 조회한 후, 종단 통신 장치들(110, 130) 간의 ID 연결 관계 정보를 생성한다.In step S303, the
단계 S304에서, 정책 관리 장치(150)는, 단계 S301 및 단계 S302에서 저장한 종단 통신 장치들(110, 130)과 보안 모듈(120, 140) 간의 ID 연결 관계 정보와, 단계 S303에서 확인된 종단 통신 장치들(110, 130) 간의 대응 관계를 이용하여, 각 보안 모듈(120, 140)을 기준으로 한 ID 기반의 양방향 연결 정보를 생성하여 정책 저장 장치(160), 예를 들어 블록체인에 저장한다. 정책 관리 장치(150)는, 종단 통신 장치(110, 130) 간의 전체 경로를 조합한 후, 전체 경로에서 제 1 보안 모듈(120)을 기준으로 한 양방향 연결 정보와 제 2 보안 모듈(140)을 기준으로 한 양방향 연결 정보를 각각 정책 저장 장치(160)에 전송하여 저장한다. 예를 들어, 상기 제 1 보안 모듈(120)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 1 종단 통신 장치(110)의 ID, 제 1 보안 모듈(120)의 ID 그리고 제 2 보안 모듈(140)의 ID로 이루어진 연결 정보이다. 그리고 제 2 보안 모듈(140)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 2 종단 통신 장치(130)의 ID, 제 2 보안 모듈(140)의 ID, 제 1 보안 모듈(120)의 ID로 이루어진 연결 정보이다. In step S304, the
도 4는 도 1의 종단 간 통신 시스템의 실시예로서 IoT 단말과 IoT 서비스 서버 간 통신을 나타낸 도면이다. 예를 들어, IoT 단말은, 마이크로폰과 스피커를 구비하여, 사용자로부터 음성 요청을 수신하고 이를 IoT 서비스 서버로 전송하고, IoT 서비스 서버로부터 수신되는 응답을 수신하여 출력하는, 소위 인공지능 스피커이다. IoT 서비스 서버는 인공지능 음성 어시스턴트(Voice Assistant) 서비스를 제공하는 장치로서 음성을 인식하고 분석하여 이에 대한 서비스를 제공한다. 도 4를 참조한 실시예에서 IoT 단말(410)은 도 1을 참조한 실시예에서의 제 1 종단 통신 장치(110)일 수 있고, IoT 서비스 서버(430)는, 도 1을 참조한 실시예에서의 제 2 종단 통신 장치(130)일 수 있다. 제 1 보안 모듈(120)은 IoT 단말(410)에 물리적인 어댑터 형태로 연결될 수 있고, 또는 소프트웨어로 구현되어 IoT 단말(410)에 설치되어 동작할 수 있다. 도 4에서 게이트웨이(420)는 예를 들어 공유기일 수 있다. 제 1 보안 모듈(120)에 복수의 IoT 단말(410)이 연결될 때 게이트웨이(420)는 공인 IP 주소를 할당받고 상기 복수의 IoT 단말(410)에는 사설 IP 주소를 할당한다. IoT 단말(410)은 게이트웨이(420) 및 인터넷(440)을 통해 IoT 서비스 서버(430)와 통신한다. 4 is a diagram illustrating communication between an IoT terminal and an IoT service server as an embodiment of the end-to-end communication system of FIG. 1 . For example, an IoT terminal is a so-called artificial intelligence speaker that has a microphone and a speaker, receives a voice request from a user, transmits it to an IoT service server, and receives and outputs a response received from the IoT service server. The IoT service server is a device that provides an artificial intelligence voice assistant (Voice Assistant) service, recognizes and analyzes voice, and provides a corresponding service. In the embodiment with reference to FIG. 4, the
도 4를 참조한 실시예에서, IoT 서비스 서버(430)에 제 2 보안 모듈(140)이 연결되면, 정책 관리 장치(150)는 IoT 서비스 서버(430)에 임시적인 ID를 부여하여 제 2 보안 모듈(140)의 ID와의 연결 관계를 설정한다. 이후 IoT 단말(410)에 제 1 보안 모듈(120)이 연결되면, 정책 관리 장치(150)는 IoT 단말(410)에 임시적인 ID를 부여하여 제 1 보안 모듈(120)의 ID와의 연결 관계를 설정한다. 정책 관리 장치(150)는 IoT 단말(140)의 MAC 주소, IoT 서비스 서버(430)의 IP 주소를 이용하여 이들이 동일한 서비스 그룹에 속한 것을 확인한 후, IoT 서비스 서버(430)와 제 2 보안 모듈(140) 간의 ID 연결 관계 정보, 및 IoT 단말(410)과 제 1 보안 모듈(120) 간의 ID 연결 관계 정보를 이용하여, 보안 모듈(120, 140)을 기준으로 한 양방향 연결 정보를 생성하여 정책 저장 장치(160)에 저장한다. In the embodiment with reference to FIG. 4 , when the
도 5는 도 4의 시스템에서 IoT 서비스 서버와 제 2 보안 모듈 간의 ID 연결 관계 정보를 생성하는 방법을 설명하는 흐름도이다. 5 is a flowchart illustrating a method of generating ID connection relationship information between an IoT service server and a second security module in the system of FIG. 4 .
도 5를 참조하면, 단계 S501에서, IoT 서비스 서버(430)에 제 2 보안 모듈(140)이 통신 가능하게 연결된다. 여기서 통신 가능한 연결이란, 물리적 연결 또는 소프트웨어적 연결을 포함한다. 단계 S502에서, 제 2 보안 모듈(140)은 IoT 서비스 서버(430)의 공인 IP 주소를 수집하고 그 수집된 공인 IP 주소와 자신의 ID1를 정책 관리 장치(150)로 전송한다. Referring to Figure 5, in step S501, the
단계 S503에서, 정책 관리 장치(150)는, IoT 서비스 서버(430)에 임시적인 ID2를 부여한다. 단계 S504에서, 정책 관리 장치(150)는 제 2 보안 모듈(140)과 IoT 서비스 서버(430) 간의 ID 연결 관계, 즉 (ID1, ID2)를 저장한다. 단계 S505에서, 정책 관리 장치(150)는, IoT 서비스 서버(430)의 공인 IP 주소를 이용하여 서비스 그룹을 확인한다. 예를 들어, 삼성전자의 IoT 서비스임을 확인한다. 단계 S506에서, 정책 관리 장치(150)는, 해당 서비스 그룹에 IoT 서비스 서버(430)의 ID2를 매칭하여 저장한다. In step S503, the
도 6은 도 4의 시스템에서 IoT 단말과 IoT 서비스 서버 간의 연결 정책을 설정하는 방법을 설명하는 흐름도로서, 도 5를 참조하여 설명한 절차 이후에 동작하는 흐름도이다. 6 is a flowchart illustrating a method of setting a connection policy between an IoT terminal and an IoT service server in the system of FIG. 4, which is operated after the procedure described with reference to FIG. 5.
도 6을 참조하면, 단계 S601에서, IoT 단말(410)에 제 1 보안 모듈(120)이 통신 가능하게 연결된다. 여기서 통신 가능한 연결이란, 물리적 연결 또는 소프트웨어적 연결을 포함한다. 단계 S602에서, 제 1 보안 모듈(120)은 IoT 단말(410)의 MAC 주소를 수집하고 그 수집된 MAC 주소와 자신의 ID3을 정책 관리 장치(150)로 전송한다. Referring to FIG. 6 , in step S601 , the
단계 S603에서, 정책 관리 장치(150)는, IoT 단말(410)에 임시적인 ID4를 부여한다. 단계 S604에서, 정책 관리 장치(150)는 제 1 보안 모듈(120)과 IoT 단말(410) 간의 ID 연결 관계, 즉 (ID3, ID4)를 저장한다. 단계 S605에서, 정책 관리 장치(150)는, IoT 단말(410)의 MAC 주소를 이용하여 서비스 그룹을 확인한다. 예를 들어, 삼성전자의 IoT 단말임을 확인한다. In step S603, the
도 5를 참조한 실시예에서 IoT 서비스 서버(430)의 ID2가 서비스 그룹에 매칭되어 있으므로, 단계 S606에서, 정책 관리 장치(150)는, IoT 단말(410)과 IoT 서비스 서버(430) 간의 ID 연결 관계 정보(ID2 : ID4)를 생성한다. 단계 S607에서, 정책 관리 장치(150)는, IoT 단말(410)과 IoT 서비스 서버(430) 간의 ID 연결 관계 정보(ID2 : ID4)를 이용하여, IoT 서비스 서버(430)와 제 2 보안 모듈(140) 간의 ID 연결 관계 정보, 및 IoT 단말(410)과 제 1 보안 모듈(120) 간의 ID 연결 관계 정보를 확인하고, 이를 이용하여 IoT 단말(410)과 IoT 서비스 서버(430) 간의 ID 기반 전체 경로를 조합한다. ID 기반 전체 경로는 (ID2 : ID1 : ID3 : ID4)이다. Since ID 2 of the
단계 S608에서, 정책 관리 장치(150)는 ID 기반 전체 경로를 기초로, 보안 모듈(120, 140)을 기준으로 한 양방향 연결 정보를 생성하여 정책 저장 장치(160)에 저장한다. 제 1 보안 모듈(120)을 기준으로 한 ID 기반의 양방향 연결 정보는, (ID4, ID3, ID1)이다. 제 2 보안 모듈(140)을 기준으로 한 ID 기반의 양방향 연결 정보는, (ID3, ID1, ID2)이다. In step S608, the
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.While this specification contains many features, such features should not be construed as limiting the scope of the invention or the claims. Also, features described in separate embodiments in this specification may be implemented in combination in a single embodiment. Conversely, various features that are described in this specification in a single embodiment may be implemented in various embodiments individually or in combination as appropriate.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.Although actions are described in a particular order in the drawings, it should not be understood that such actions are performed in the specific order as shown, or that the actions are performed in a series of sequential order, or that all described actions are performed to achieve a desired result. . Multitasking and parallel processing can be advantageous in certain circumstances. In addition, it should be understood that the division of various system components in the above-described embodiments does not require such division in all embodiments. The program components and systems described above may generally be implemented as a package in a single software product or multiple software products.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.The method of the present invention as described above may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily performed by a person skilled in the art to which the present invention belongs, it will not be described in detail.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention to those skilled in the art to which the present invention belongs, and thus the above-described embodiments and It is not limited by drawings.
110 : 제 1 종단 통신 장치
120 : 제 1 보안 모듈
130 : 제 2 종단 통신 장치
140 : 제 2 보안 모듈
150 : 정책 관리 장치
160 : 정책 저장 장치
170 : 통신망
210 : 수신부
220 : 식별자 관리부
230 : 연결 관계 정보 DB
240 : 서비스 그룹 식별부
250 : 서비스 그룹 정보 DB
260 : 종단 장치 관리부
270 : 정책 관리부110: first end communication device
120: first security module
130: second end communication device
140: second security module
150: policy management device
160: policy storage device
170: communication network
210: receiver
220: identifier management unit
230: connection relationship information DB
240: service group identification unit
250: service group information DB
260: terminal device management unit
270: policy management department
Claims (24)
상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보를 저장하는 단계;
상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를 저장하는 단계;
서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 단계; 및
상기 제 1, 2 연결 관계 정보와 상기 대응 관계를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함하는 방법.A method of setting a connection policy between a first end communication device and a second end communication device in a policy management device, the method comprising:
storing first connection relationship information obtained by matching an identifier of the first end-end communication device with an identifier of a first security module connected to the first end-end communication device;
storing second connection relationship information obtained by matching an identifier of the second end-end communication device with an identifier of a second security module connected to the second end-end communication device;
checking a correspondence between the first end communication device and the second end communication device based on service group information and unique information of the first and second end communication devices; and
policy storage of identifier-based bi-directional connection information based on the first security module and identifier-based bi-directional connection information based on the second security module by using the first and second connection relationship information and the corresponding relationship; storing in a means;
상기 제 1 연결 관계 정보를 저장하는 단계는,
제 1 보안 모듈로부터, 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 단계;
상기 제 1 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 1 보안 모듈의 제 1 식별자와 매칭하는 단계를 포함하는 것을 특징으로 하는 방법.According to claim 1,
The step of storing the first connection relationship information,
Receiving, from a first security module, an identifier of the first security module and unique information of the first end communication device;
and assigning an identifier to the first end communication device and matching the assigned identifier with a first identifier of the first security module.
상기 고유 정보를 수신하는 단계는,
상기 제 1 종단 통신 장치에 상기 제 1 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 수행되는 것을 특징으로 하는 방법.According to claim 2,
Receiving the unique information,
characterized in that it is performed in response to an operation in which the first security module is communicatively connected to the first end communication device.
상기 제 2 연결 관계 정보를 저장하는 단계는,
제 2 보안 모듈로부터, 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 단계;
상기 제 2 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 2 보안 모듈의 식별자와 매칭하는 단계를 포함하는 것을 특징으로 하는 방법.According to claim 1,
The step of storing the second connection relationship information,
Receiving, from a second security module, an identifier of the second security module and unique information of the second end communication device;
and assigning an identifier to the second end communication device and matching the assigned identifier with the identifier of the second security module.
상기 고유 정보를 수신하는 단계는,
상기 제 2 종단 통신 장치에 상기 제 2 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 수행되는 것을 특징으로 하는 방법.According to claim 4,
Receiving the unique information,
characterized in that it is performed in response to an operation in which the second security module is communicatively connected to the second end communication device.
상기 대응 관계를 확인하는 단계는,
상기 제 1 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보와 상기 제 2 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보의 일치를 확인하는 단계; 및
상기 제 1 종단 통신 장치의 식별자와 상기 제 2 종단 통신 장치의 식별자를 매칭한, 제 3 연결 관계 정보를 획득하는 단계;를 포함하는 것을 특징으로 하는 방법.According to claim 1,
The step of confirming the corresponding relationship is,
checking whether the service group information identified as the unique information of the first-end communication device matches the service group information identified as the unique information of the second-end communication device; and
and obtaining third connection relationship information obtained by matching the identifier of the first-end communication device with the identifier of the second-end communication device.
상기 서비스 그룹 정보의 일치를 확인하는 단계는,
상기 제 1 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 상기 제 1 종단 통신 장치의 식별자를 매칭하여 저장하는 단계; 및
상기 2 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 매칭된 상기 제 1 종단 통신 장치의 식별자를 확인하는 단계;를 포함하는 것을 특징으로 하는 방법.According to claim 6,
The step of confirming the matching of the service group information,
matching and storing an identifier of the first end communication device with service group information identified using the unique information of the first end communication device; and
and verifying an identifier of the first-end communication device matched to the identified service group information using the unique information of the second-end communication device.
상기 정책 저장수단에 저장하는 단계는,
상기 제 3 연결 관계 정보를 이용하여 상기 제 1, 2 연결 관계 정보를 조회하는 단계;
조회된 상기 제 1, 2 연결 관계 정보를 이용하여 식별자들 기반의 상기 제 1, 2 종단 통신 장치 간의 전체 경로를 조합하는 단계; 및
상기 전체 경로에서 상기 제 1 보안 모듈을 기준으로 한 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함하는 방법.According to claim 6,
The step of storing the policy in the storage means,
querying the first and second connection relationship information using the third connection relationship information;
combining all paths between the first and second end communication devices based on identifiers using the inquired first and second connection relationship information; and
and storing bi-directional connection information based on the first security module and bi-directional connection information based on the second security module in a policy storage unit in the entire path.
상기 정책 저장수단은, 블록체인인 것을 특징으로 하는 방법.According to claim 1,
The method of claim 1, wherein the policy storage means is a block chain.
상기 고유 정보들은, IP 주소 또는 MAC 주소인 것을 특징으로 하는 방법.According to claim 1,
The unique information is characterized in that the IP address or MAC address.
상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는,
상기 제 1 종단 통신 장치의 식별자, 상기 제 1 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것을 특징으로 하는 방법.According to claim 1,
The bi-directional connection information based on the identifier based on the first security module,
characterized in that it consists of an identifier of the first end communication device, an identifier of the first security module, and an identifier of the second security module.
상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는,
상기 제 2 종단 통신 장치의 식별자, 상기 제 2 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것을 특징으로 하는 방법.According to claim 11,
The identifier-based bi-directional connection information based on the second security module,
characterized in that it consists of an identifier of the second end communication device, an identifier of the second security module, and an identifier of the second security module.
상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보와, 상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를, 연결 관계 정보 저장부에 저장하는 식별자 관리부;
서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 종단 장치 관리부; 및
상기 제 1, 2 연결 관계 정보와 상기 대응 관계를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장부에 저장하는 정책 관리부;를 포함하는 정책 관리 장치.A policy management device for setting a connection policy between a first end communication device and a second end communication device, comprising:
The first connection relationship information obtained by matching the identifier of the first end communication device with the identifier of the first security module connected to the first end communication device, the identifier of the second end communication device, and the second end communication an identifier management unit that stores second connection relationship information, which is matched with an identifier of a second security module connected to the device, in the connection relationship information storage unit;
an end device management unit that checks a correspondence between the first end communication device and the second end communication device based on service group information and unique information of the first and second end communication devices; and
policy storage of identifier-based bi-directional connection information based on the first security module and identifier-based bi-directional connection information based on the second security module by using the first and second connection relationship information and the corresponding relationship; A policy management unit comprising a; policy management unit to store in the unit.
제 1 보안 모듈로부터, 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 수신부;를 더 포함하고,
상기 식별자 관리부는,
상기 제 1 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 1 보안 모듈의 제 1 식별자와 매칭하는 것을 특징으로 하는 정책 관리 장치.According to claim 13,
A receiver configured to receive, from a first security module, an identifier of the first security module and unique information of the first end communication device;
The identifier management unit,
The policy management device, characterized in that assigning an identifier to the first terminal communication device and matching the assigned identifier with a first identifier of the first security module.
상기 수신부는,
상기 제 1 종단 통신 장치에 상기 제 1 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 상기 제 1 보안 모듈로부터 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 것을 특징으로 하는 정책 관리 장치.15. The method of claim 14,
the receiver,
and receiving an identifier of the first security module and unique information of the first end communication device from the first security module in response to an operation in which the first security module is communicatively connected to the first end communication device. policy management device.
제 2 보안 모듈로부터, 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 수신부;를 더 포함하고,
상기 식별자 관리부는,
상기 제 2 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 2 보안 모듈의 식별자와 매칭하는 것을 특징으로 하는 정책 관리 장치.According to claim 13,
A receiver configured to receive, from a second security module, an identifier of the second security module and unique information of the second end communication device;
The identifier management unit,
The policy management device, characterized in that assigning an identifier to the second terminal communication device and matching the assigned identifier with the identifier of the second security module.
상기 수신부는,
상기 제 2 종단 통신 장치에 상기 제 2 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 제 2 보안 모듈로부터 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 것을 특징으로 하는 정책 관리 장치.17. The method of claim 16,
the receiver,
Receiving an identifier of the second security module and unique information of the second end communication device from the second security module in response to an operation in which the second security module is communicatively connected to the second end communication device. policy management device.
상기 종단 장치 관리부는,
상기 제 1 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보와 상기 제 2 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보의 일치를 확인하고, 상기 제 1 종단 통신 장치의 식별자와 상기 제 2 종단 통신 장치의 식별자를 매칭한, 제 3 연결 관계 정보를 획득하는 것을 특징으로 하는 정책 관리 장치.According to claim 13,
The terminal device management unit,
The service group information identified as the unique information of the first-end communication device and the service group information identified as the unique information of the second-end communication device are matched, and the identifier of the first-end communication device and the second-end communication device A policy management device characterized in that for obtaining third connection relationship information matching the identifier of.
상기 종단 장치 관리부는,
상기 제 1 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 상기 제 1 종단 통신 장치의 식별자를 매칭하여 저장하고, 상기 2 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 매칭된 상기 제 1 종단 통신 장치의 식별자를 확인함으로써, 제 1, 2 종단 통신 장치의 서비스 그룹 정보의 일치를 확인하는 것을 특징으로 하는 정책 관리 장치.According to claim 18,
The terminal device management unit,
The service group information identified using the unique information of the first-end communication device is matched with the identifier of the first-end communication device and stored, and the service group information matched with the service group information identified using the unique information of the second-end communication device is stored. A policy management device characterized by confirming the matching of service group information of the first and second end communication devices by checking the identifier of the first end communication device.
상기 정책 관리부는,
상기 제 3 연결 관계 정보를 이용하여 상기 제 1, 2 연결 관계 정보를 조회하고, 조회된 상기 제 1, 2 연결 관계 정보를 이용하여 식별자들 기반의 상기 제 1, 2 종단 통신 장치 간의 전체 경로를 조합하며, 상기 전체 경로에서 상기 제 1 보안 모듈을 기준으로 한 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 양방향 연결 정보를 각각 정책 저장부에 저장하는 것을 특징으로 하는 정책 관리 장치.According to claim 18,
The policy management department,
The first and second connection relationship information is inquired using the third connection relationship information, and the entire path between the first and second end-end communication devices based on identifiers is determined using the retrieved first and second connection relationship information. and storing bi-directional connection information based on the first security module and bi-directional connection information based on the second security module in the policy storage unit in the entire path.
상기 정책 저장부는, 블록체인인 것을 특징으로 하는 정책 관리 장치.According to claim 13,
The policy storage unit is a policy management device, characterized in that the block chain.
상기 고유 정보들은, IP 주소 또는 MAC 주소인 것을 특징으로 하는 정책 관리 장치.According to claim 13,
The unique information is an IP address or a MAC address, characterized in that the policy management device.
상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는,
상기 제 1 종단 통신 장치의 식별자, 상기 제 1 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것을 특징으로 하는 정책 관리 장치.According to claim 13,
The bi-directional connection information based on the identifier based on the first security module,
The policy management device characterized in that it consists of an identifier of the first terminal communication device, an identifier of the first security module, and an identifier of the second security module.
상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는,
상기 제 2 종단 통신 장치의 식별자, 상기 제 2 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것을 특징으로 하는 정책 관리 장치.24. The method of claim 23,
The identifier-based bi-directional connection information based on the second security module,
The policy management device characterized in that it consists of an identifier of the second terminal communication device, an identifier of the second security module, and an identifier of the second security module.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180077308A KR102548430B1 (en) | 2018-07-03 | 2018-07-03 | Apparatus and method establishing a policy of end-to-end communication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180077308A KR102548430B1 (en) | 2018-07-03 | 2018-07-03 | Apparatus and method establishing a policy of end-to-end communication |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200004193A KR20200004193A (en) | 2020-01-13 |
KR102548430B1 true KR102548430B1 (en) | 2023-06-26 |
Family
ID=69153073
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180077308A KR102548430B1 (en) | 2018-07-03 | 2018-07-03 | Apparatus and method establishing a policy of end-to-end communication |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102548430B1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101778768B1 (en) * | 2017-04-21 | 2017-09-18 | (주)케이사인 | METHOD OF CONTROLLING IoT DEVICE AND IoT DEVICE CONTROL SYSTEM FOR PERFORMING THE SAME |
JP2017175373A (en) * | 2016-03-23 | 2017-09-28 | ソフトバンク株式会社 | Setting information generation device, network control device, method and program |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101323092B1 (en) * | 2010-02-12 | 2013-10-29 | 한국전자통신연구원 | System and method for detecting copy of secure micro |
-
2018
- 2018-07-03 KR KR1020180077308A patent/KR102548430B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017175373A (en) * | 2016-03-23 | 2017-09-28 | ソフトバンク株式会社 | Setting information generation device, network control device, method and program |
KR101778768B1 (en) * | 2017-04-21 | 2017-09-18 | (주)케이사인 | METHOD OF CONTROLLING IoT DEVICE AND IoT DEVICE CONTROL SYSTEM FOR PERFORMING THE SAME |
Also Published As
Publication number | Publication date |
---|---|
KR20200004193A (en) | 2020-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7564795B2 (en) | Obtaining per-port location information for wired LAN switches | |
US20080008109A1 (en) | Method and apparatus for bridging wireless control networks | |
CN108429740A (en) | A kind of method and device obtaining device identification | |
US10630551B2 (en) | Method and apparatus for automatic networking of gateway device | |
CN106686129A (en) | Load balancing method and load balancing system | |
JP2015192386A (en) | Data transfer control device, data transfer control method and program | |
CN105450585B (en) | A kind of information transferring method and device | |
JP2001320373A (en) | Wireless lan system | |
KR20140122969A (en) | Apparatus and method for identifying interoperability between object identifier based heterogeneous identifier node for next generation network | |
US9755833B2 (en) | Identification information management system, method of generating and managing identification information, terminal, and generation and management programs | |
CN111083120B (en) | Data transmission method and device, electronic equipment and storage medium | |
US10581673B2 (en) | Abstracting wireless device to virtual Ethernet interface | |
KR102156206B1 (en) | Apparatus and method for providing security to an end-to-end communication | |
TWI514822B (en) | Wireless access point device, network system and network auto-establishing method of the same | |
CN114338153B (en) | IPSec negotiation method and device | |
CN102447626A (en) | Backbone network with policy driven routing | |
KR102548430B1 (en) | Apparatus and method establishing a policy of end-to-end communication | |
CN109639707B (en) | Data transmission method, device, system and medium based on gatekeeper | |
CN105612773A (en) | Zeroconf profile transferring to enable fast roaming | |
JP5937563B2 (en) | Communication base station and control method thereof | |
TW201517654A (en) | Transmission path control system | |
CN104918221A (en) | Terminal peripheral login, logout and standby processing method and system | |
KR102023115B1 (en) | Communication method based on integrated flat id and system | |
KR20210051208A (en) | Apparatus and method for providing security to an end-to-end communication | |
US8036218B2 (en) | Technique for achieving connectivity between telecommunication stations |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |