KR102555773B1 - 네트워크 터널링 기반 동일 네트워크 내 장비 별 통신 제어 시스템 - Google Patents

네트워크 터널링 기반 동일 네트워크 내 장비 별 통신 제어 시스템 Download PDF

Info

Publication number
KR102555773B1
KR102555773B1 KR1020210109232A KR20210109232A KR102555773B1 KR 102555773 B1 KR102555773 B1 KR 102555773B1 KR 1020210109232 A KR1020210109232 A KR 1020210109232A KR 20210109232 A KR20210109232 A KR 20210109232A KR 102555773 B1 KR102555773 B1 KR 102555773B1
Authority
KR
South Korea
Prior art keywords
unit
authentication
terminal information
traffic
information
Prior art date
Application number
KR1020210109232A
Other languages
English (en)
Other versions
KR20220165619A (ko
Inventor
정웅종
Original Assignee
주식회사 엔드포인트랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔드포인트랩 filed Critical 주식회사 엔드포인트랩
Publication of KR20220165619A publication Critical patent/KR20220165619A/ko
Application granted granted Critical
Publication of KR102555773B1 publication Critical patent/KR102555773B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 실시 예에 따른 통신 제어 시스템은, 복수의 종단 단말들, 네트워크를 통하여 상기 종단 단말들 간의 패킷을 전달하는 스위칭부, 상기 종단 단말들 및 상기 스위칭부 간의 터널링을 수행하고, 상기 종단 단말들 각각에 터널링 ID를 부여하는 터널링 제공부, 및 상기 스위칭부로부터 상기 복수의 종단 단말들 중 트래픽이 발생된 종단 단말의 단말 정보를 수신하고, 상기 단말 정보를 분석하여 트래픽 제어 신호를 생성하고, 상기 트래픽 제어 신호를 상기 스위칭부로 송신하는 트래픽 제어부를 포함하고, 상기 단말 정보는 상기 터널링 ID 및 MAC 어드레스를 포함하고, 상기 스위칭부는 상기 트래픽 제어부로부터 수신된 상기 트래픽 제어 신호에 대응하여 상기 종단 단말들 간의 상기 패킷을 전달한다.

Description

네트워크 터널링 기반 동일 네트워크 내 장비 별 통신 제어 시스템{NETWORK TUNNELING-BASED COMMUNICATION CONTROL SYSTEM}
본 발명은 네트워크 보안, 홈 네트워크, 사무 네트워크, 스마트 팩토리 및 기타 네트워크 분야에서, 네트워크 터널링을 기반으로 하여 장비 별로 트래픽을 분리하고 보안을 강화할 수 있는 시스템에 관한 것으로, 동일 네트워크에 연결된 장비들간 통신을 용이하게 제한할 수 있는 시스템에 관한 것이다.
기존의 L2 스위치는 동일 네트워크 내의 모든 트래픽을 자유롭게 전파하는 것이 가능하다. 이러한 특성은 외부에서 악성코드 혹은 바이러스에 감염된 PC로부터 동일 네트워크 내의 다른 장치들에게 전파가 용이하다는 것을 뜻한다.
L2 스위치를 통하여 모든 네트워크 장비들을 하나의 망으로 연결하는 구조를 사용하는 경우, 이러는 문제는 더욱 심각하다. 대표적인 예로, 아파트가 이와 같은 형태로 각 세대를 연결하고 있다. 세대별 별도의 보안기능이 없고 세대간 트래픽이 분리가 되지 않기에 공격자가 다양한 세대 및 관리서버로의 접근이 자유롭게 가능하다. 아파트뿐 만 아니라, 이러한 형태의 망 구조를 취하는 회사, 상점, 가정 및 기타 환경에서의 네트워크 보안 강화는 필수적으로 요구된다.
본 발명에서는 L2 스위치 혹은 L3 라우터 내에서의 패킷 전달 특성을 소프트웨어를 통해 제어한다. 이를 통해 기존의 L2 스위치와 동일하게 패킷 흐름을 제공하면서 L2 스위치에 연결된 장비간 통신을 억제하는 것이 가능하다. 이러한 구조를 통해 기존에 구축된 망의 구조 변경 없이 장비의 교체가 용이하고, 네트워크 보안 기능을 강화하는 것을 그 목적으로 한다.
본 발명의 실시 예에 따른 통신 제어 시스템은 복수의 종단 단말들, 동일 네트워크를 통하여 상기 종단 단말들 간의 패킷을 전달하는 스위칭부, 상기 종단 단말들 및 상기 스위칭부 간의 터널링을 수행하고, 상기 종단 단말들 각각에 터널링 ID를 부여하는 터널링 제공부, 및 상기 스위칭부로부터 상기 복수의 종단 단말들 중 트래픽이 발생된 종단 단말의 단말 정보를 수신하고, 상기 단말 정보를 분석하여 트래픽 제어 신호를 생성하고, 상기 트래픽 제어 신호를 상기 스위칭부로 송신하는 트래픽 제어부를 포함하고, 상기 단말 정보는 상기 터널링 ID 및 MAC 어드레스를 포함하고, 상기 스위칭부는 상기 트래픽 제어부로부터 수신된 상기 트래픽 제어 신호에 대응하여 상기 종단 단말들 간의 상기 패킷을 전달하고, 상기 스위칭부, 상기 터널링 제공부 및 상기 트래픽 제어부는 하나 이상의 모듈 내에 구성된다.
상기 터널링부는 상기 종단 단말들 및 상기 스위칭부 간에 L2 터널링을 수행한다.
상기 스위칭부, 상기 터널링 제공부 및 상기 트래픽 제어부는 보안 스위칭 모듈 내 구성되고, 상기 보안 스위칭 모듈은 복수의 물리 포트들을 통하여 상기 종단 단말들 각각과 연결된다.
상기 스위칭부 및 상기 터널링 제공부는 보안 스위칭 모듈 내 구성되고, 상기 트래픽 제어부는 보안 게이트웨이에 구성되고, 상기 보안 스위칭 모듈은 복수의 물리 포트들을 통하여 상기 종단 단말들 및 상기 보안 게이트웨이 각각과 연결된다.
상기 보안 스위칭 모듈은, L2 스위치 또는 L3 라우터이다.
상기 트래픽 제어부는, 상기 단말 정보를 수집 및 저장하는 단말 정보 수집부, 상기 단말 정보 수집부로부터 수신된 단말 정보를 기저장된 단말 정보와 비교하여 처리 대상 트래픽을 검출하는 모니터링부, 상기 처리 대상 트래픽의 차단 여부를 결정하여 상기 트래픽 제어 신호를 생성하는 트래픽 처리부, 및 상기 트래픽 처리부로부터 처리가 완료된 단말 정보를 신규로 등록하거나, 상기 기저장된 단말 정보에 취합 및 업데이트를 수행하는 통신 정보 생성부를 포함한다.
상기 모니터링부는 상기 수신된 단말 정보를 기저장된 단말 정보와 비교 및 분석하여 해당 단말의 최초 연결 여부, 물리적 단절 이력 및 발생된 트래픽 패턴의 이상 여부 등을 감지하여 상기 처리 대상 트래픽을 검출한다.
상기 보안 게이트웨이는 상기 단말 정보 중 인증에 필요한 인증 정보를 별도로 저장하는 인증부를 더 포함하고, 상기 인증 정보는 기등록 단말 리스트, 라우팅 정책, 방화벽 정책 등을 포함하고, 상기 인증부는 상기 모니터링부가 처리 대상 트래픽의 검출을 수행하기 전에, 상기 보안 게이트웨이에 수신된 단말 정보를 상기 인증부에 저장된 상기 인증 정보와 우선적으로 비교하고, 상기 단말 정보가 인증이 완료된 경우, 해당 종단 단말에 대한 트래픽 허용 신호를 상기 스위칭부에 송신하고, 상기 단말 정보가 인증이 완료되지 않은 경우, 상기 단말 정보를 상기 모니터링부로 송신한다.
상기 통신 정보 생성부는 상기 트래픽 처리부로부터 처리가 완료된 단말 정보 중 적어도 일부 정보를 상기 인증부에 송신하고, 상기 인증부는 수신된 상기 일부 정보를 기저장된 인증 정보에 취합 및 업데이트를 수행한다.
상기 보안 스위칭 모듈은, 상기 보안 스위칭 모듈에 연결된 상기 종단 단말들의 단말 정보 중 인증에 필요한 제1 인증 정보를 별도로 저장하는 제1 인증부를 더 포함하고, 상기 보안 게이트웨이는, 상기 보안 게이트웨이로 수신되는 단말 정보 중 인증에 필요한 제2 인증 정보를 별도로 저장하는 제2 인증부를 더 포함하고, 상기 제1 인증 정보 및 제2 인증 정보는 기등록 단말 리스트, 라우팅 정책, 방화벽 정책 등을 포함하고, 상기 제2 인증 정보는 상기 제1 인증 정보를 포함하고, 상기 제1 인증부는 상기 스위칭부로 상기 종단 단말의 패킷이 전달되기 전에, 상기 보안 스위칭 모듈에 수신된 단말 정보를 상기 제1 인증 정보와 우선적으로 비교하는 제1 차 인증을 수행하고, 상기 단말 정보의 상기 제1 차 인증이 완료된 경우, 해당 종단 단말에 대한 트래픽 허용 신호를 상기 스위칭부에 송신하고, 상기 단말 정보의 상기 제1 차 인증이 완료되지 않은 경우, 상기 단말 정보를 상기 보안 게이트웨이로 송신하고, 상기 제2 인증부는 상기 모니터링부가 처리 대상 트래픽의 검출을 수행하기 전에, 상기 보안 게이트웨이에 수신된 상기 단말 정보를 상기 제2 인증 정보와 우선적으로 비교하는 제2 차 인증을 수행하고, 상기 단말 정보의 상기 제2 차 인증이 완료된 경우, 해당 종단 단말에 대한 트래픽 허용 신호를 상기 스위칭부에 송신하고, 상기 단말 정보의 상기 제2 차 인증이 완료되지 않은 경우, 상기 단말 정보를 상기 모니터링부로 송신한다.
상기 보안 스위칭 모듈은 복수로 제공되고, 상기 보안 게이트웨이는 복수의 물리 포트들을 통하여 상기 복수의 보안 스위칭 모듈들과 연결된다.
상기 보안 게이트웨이는 상기 트래픽 제어부와 데이터를 송수신하는 중앙 서버를 더 포함하고, 상기 중앙 서버는 상기 단말 정보 수집부에 수집된 단말 정보 수신하여 기계 학습하고, 학습된 데이터를 상기 단말 정보 수집부에 송신한다.
본 발명을 통해 동일 네트워크에 연결된 장비들간 통신을 제한하는 것이 가능하다.
또한, 24시간 모든 네트워크 트래픽의 모니터링이 가능하기에 네트워크 사용 패턴 및 이상 패턴 검출과 같은 AI 학습을 위한 데이터 축적이 가능하다.
또한, 네트워크 트래픽의 제어 정책을 중앙 집중화 혹은 분산화 구조로 구현할 수 있으며, 이를 통한 네트워크 트래픽의 Hop 조절이 가능하다.
네트워크 보안 장비와 연결된 다른 장비들의 네트워크 설정을 변경할 것이 없기에 단순한 망 구조에 다수의 장치가 연결되어 있는 환경인 경우, 네트워크 보안을 간편하게 강화하기 용이하다.
도 1은 본 발명의 실시 예에 따른 통신 제어 시스템의 구성이 간략하게 도시된 블록도이다.
도 2는 본 발명의 다른 실시 예에 따른 통신 제어 시스템의 구성이 간략하게 도시된 블록도이다.
도 3은 본 발명의 다른 실시 예에 따른 통신 제어 시스템의 구성이 간략하게 도시된 블록도이다.
도 4는 본 발명의 다른 실시 예에 따른 통신 제어 시스템의 구성이 간략하게 도시된 블록도이다.
도 5는 본 발명의 실시 예에 따른 트래픽을 제어하는 과정이 도시된 단계도이다.
이하에서 설명되는 모든 실시 예들은 본 발명의 이해를 돕기 위해 예시적으로 나타낸 것이며, 여기에 설명된 실시 예들과 다르게 변형되어 다양한 실시 형태로 실시될 수 있다. 또한, 본 발명을 설명함에 있어서, 관련된 공지 기능 혹은 공지 구성요소에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우, 그 구체적인 설명은 생략하도록 한다.
첨부된 도면은 발명의 이해를 돕기 위해서 실제 축척대로 도시된 것이 아니라 일부 구성요소의 치수가 과장되게 도시될 수 있으며, 각 구성요소들에 참조번호를 기재할 때, 동일한 구성요소들에 대해서는 다른 도면에 표시되더라도 가능한 한 동일한 부호로 표시하였다.
또한, 본 발명의 실시 예의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성요소에 '연결', '결합' 또는 '접속'된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결, 결합 또는 접속될 수 있지만, 그 구성 요소와 그 다른 구성요소 사이에 또 다른 구성 요소가 '연결', '결합' 또는 '접속'될 수도 있다고 이해되어야 할 것이다.
따라서, 본 명세서에 기재된 실시 예와 도면에 도시된 구성은 본 발명의 가장 바람직한 실시 예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 발명에 대한 다양한 변형 실시 예들이 있을 수 있다.
그리고, 본 명세서 및 청구범위에서 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정되어서는 안되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.
또한, 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
또한, 본 출원에서 사용된 단수의 표현은 문맥상 명백히 다른 것을 뜻하지 않는 한, 복수의 표현을 포함한다.
도 1은 본 발명의 실시 예에 따른 통신 제어 시스템의 구성이 간략하게 도시된 블록도이다.
도 1을 참조하면, 본 발명의 실시 예에 따른 통신 제어 시스템(1000)은 종단 단말 그룹(NG), 보안 스위칭 모듈(SM) 및 보안 게이트웨이(GW)를 포함한다.
종단 단말 그룹(NG)은 복수의 종단 단말들(N1~Nn)을 포함한다. 종단 단말들(N1~Nn)은 네트워크 장비일 수 있다. 예시적으로, 종단 단말들(N1~Nn)은 핸드폰, 노트북, 컴퓨터, 월 패드 등일 수 있다.
본 실시 예에서, 종단 단말들(N1~Nn)은 동일 네트워크 환경 내에서 연결될 수 있다. 즉, 하나의 종단 단말 그룹(NG)으로 그룹핑된 종단 단말들(N1~Nn)은 동일 네트워크 환경 내에서 하나의 망으로 연결될 수 있다.
보안 스위칭 모듈(SM)은 종단 단말들(N1~Nn) 각각과 연결되어 종단 단말들(N1~Nn) 사이의 패킷을 전달한다. 예시적으로, 보안 스위칭 모듈은 L2 스위치 또는 L3 라우터일 수 있다.
보안 스위칭 모듈(SM)은 멀티포트 브리지의 역할을 수행할 수 있다. 구체적으로, 보안 스위칭 모듈(SM)은 복수의 물리 포트들(PS)를 포함하며, 보안 스위칭 모듈(SM)의 물리 포트들(PS)은 종단 단말들(N1~Nn) 각각이 갖는 물리 포트(PN)와 일대일 연결될 수 있다.
본 실시 예에서, 보안 스위칭 모듈(SM)은 터널링 제공부(100) 및 스위칭부(200)를 포함한다.
터널링 제공부(100)는 종단 단말들(N1~Nn) 및 스위칭부(200) 간의 터널링을 수행한다. 본 실시 예에서, 종단 단말들(N1~Nn) 및 스위칭부(200) 간에 수행된 터널링은 L2 터널링일 수 있으며, 수행된 터널링 각각은 고유의 식별 정보인 터널링 ID를 가질 수 있다. 종단 단말들(N1~Nn)은 터널링 ID(T1~Tn)를 통하여 서로 구별될 수 있다.
스위칭부(200)는 스위칭부(200)에 터널링된 종단 단말들(N1~Nn) 간의 패킷을 전달한다. 스위칭부(200)는 패킷 전달 시, 종단 단말들(N1~Nn) 각각이 갖는 고유 정보인 MAC 어드레스를 사용할 수 있다.
본 실시 예에서, 스위칭부(200)는 패킷 전달 시, 트래픽 제어 신호를 수신하여 선택적으로 패킷을 차단하거나 허용할 수 있다.
보안 게이트웨이(GW)는 보안 스위칭 모듈(SM)과 연결된다. 예시적으로, 보안 게이트웨이(GW)에 구비된 물리 포트(PG)와 보안 스위칭 모듈(SM)의 물리 포트(PS)가 연결될 수 있다. 본 실시 예에서, 보안 스위칭 모듈(SM)의 터널링부(100)는 보안 게이트웨이(GW) 및 보안 스위칭 모듈(SM)의 스위칭부(200) 사이에 터널링을 수행할 수 있다. 본 발명은 보안 게이트웨이(GW) 및 보안 스위칭 모듈(SM) 사이의 터널링 여부에 특별히 한정되지는 않는다.
본 실시 예에 따르면, 보안 스위칭 모듈(SM)은 종단 단말들(N1~Nn)에 트래픽이 발생되는 경우, 스위칭부(200)를 통하여 패킷을 전달하기 전에, 트래픽이 발생된 해당 종단 단말(N1~Nn)의 단말 정보를 보안 게이트웨이(GW)에 송신할 수 있다. 이 때, 상기 단말 정보는 터널링 ID(T1~Tn) 및 MAC 어드레스를 포함한다.
보안 게이트웨이(GW)는 트래픽 제어부(300)를 포함한다. 트래픽 제어부(300)는 보안 게이트웨이(GW)로 수신되는 단말 정보를 분석하여 트래픽 제어 신호를 생성하고, 생성된 트래픽 제어 신호를 보안 스위칭 모듈(SM)의 스위칭부(200)로 송신한다.
트래픽 제어부(300)는 단말 정보 수집부(310), 모니터링부(320), 통신 정보 생성부(330), 및 트래픽 처리부(340)를 포함한다.
단말 정보 수집부(310)는 스위칭부(200)로부터 수신되는 단말 정보를 수집 및 저장한다. 상기 단말 정보는 발생하는 트래픽의 종류(MAC 어드레스, IP 어드레스, 프로토콜 정보, 포트 정보), 터널링 ID 정보, 보안 스위칭 모듈(SM)과의 연결 상태, 발생하는 트래픽의 패턴 등일 수 있다. 또한, 단말 정보 수집부(310)는 통신 정보 생성부(330)로부터 생성된 통신 정보를 저장할 수 있다. 상기 통신 정보는 트래픽 제어 이력, 신규 단말 정보, 단말 정보의 변경 사항 등일 수 있다.
도면에는 도시되지 않았으나, 본 발명의 다른 실시 예에 따른 보안 게이트웨이(GW)는 중앙 서버(미도시)를 더 포함할 수 있다. 중앙 서버(미도시)는 트래픽 제어부(300)와 데이터를 송수신 할 수 있다. 또한, 본 발명의 또 다른 실시 예에서, 중앙 서버(미도시)는 단말 정보 수집부(310)에 수집된 단말 정보들을 수신하여 기계 학습하고, 학습이 완료된 데이터를 다시 단말 정보 수집부(310)에 송신할 수도 있다.
모니터링부(320)는 단말 정보 수집부(310)로부터 수신된 단말 정보를 기저장된 단말 정보와 비교 및 분석하여 해당 종단 단말의 최초 연결 여부, 물리적 단절 이력 및 발생된 트래픽 패턴의 이상 여부 등을 감지한다. 모니터링부(320)는 감지된 결과를 통하여 처리 대상 트래픽을 검출할 수 있다.
트래픽 처리부(330)은 모니터링부(320)로부터 검출된 처리 대상 트래픽의 차단 여부를 결정하여 트래픽 제어 신호를 생성한다. 생성된 트래픽 제어 신호는 보안 스위칭 모듈(SM)로 송신된다.
통신 정보 생성부(340)는 트래픽 처리부(330)로부터 처리가 완료된 단말 정보를 신규로 등록하거나, 단말 정보 수집부(310)에 기저장된 단말 정보와 취합하여 업데이트를 수행한다.
도 5는 본 발명의 실시 예에 따른 트래픽을 제어하는 과정이 도시된 단계도이다.
도 5를 도 1과 함께 참조하면, 본 발명의 실시 예에 따른 트래픽 제어 방법은 다음과 같다. 종단 단말(N1~Nn)이 보안 스위칭 모듈(SM)에 터널링되면, 보안 스위칭 모듈(SM)은 해당 단말 정보를 단말 정보 수집부(310)에 송신한다.
우선적으로, 모니터링부(320)는 해당 종단 단말(N1~Nn)이 최초로 연결되었는지 감지한다. 해당 종단 단말(N1~Nn)이 보안 스위칭 모듈(SM)에 최초로 연결된 경우, 트래픽 처리부(330)는 해당 종단 단말(N1~Nn)에 대한 트래픽 허용 신호를 생성한다. 통신 정보 생성부(330)는 처리가 완료된 단말 정보를 등록하고, 해당 종단 단말(N1~Nn)의 트래픽 패턴을 분석하여 단말 정보 수집부(310)에 송신한다.
해당 종단 단말(N1~Nn)이 보안 스위칭 모듈(SM)에 연결된 이력이 있는 경우, 모니터링부(320)는 해당 종단 단말(N1~Nn) 및 보안 스위칭 모듈(SM) 사이의 물리적 단절 이력이 있는지를 감지한다. 물리적 단절 이력이 있는 경우, 모니터링부(320)는 단말 정보 수집부(310)에 기저장된 해당 단말 정보와 비교하여 변경 사항이 있는지를 감지한다.
해당 종단 단말(N1~Nn) 및 보안 스위칭 모듈(SM) 사이의 물리적 단절 이력이 없는 경우, 트래픽 처리부(330)는 해당 종단 단말(N1~Nn)에 대한 트래픽 허용 신호를 생성하고, 모니터링부(320)는 지속적으로 해당 종단 단말(N1~Nn)의 단말 정보를 모니터링한다.
모니터링부(320)가 상기 변경 사항을 감지하거나, 모니터링 중 이상 패턴을 감지하는 경우, 해당 종단 단말(N1~Nn)의 트래픽을 처리 대상 트래픽으로 검출하고, 트래픽 처리부(330)는 처리 대상 트래픽을 보안 위협 요소 간주하여 트래픽 차단 신호를 보안 스위칭 모듈(SM)에 전송한다. 스위칭부(200)는 트래픽 차단 신호에 대응하여 해당 포트(PN)의 트래픽을 차단한다. 차단된 트래픽의 해제 여부는 관리자의 승인을 통하여 수행될 수 있으며, 트래픽의 차단이 해제되면, 통신 정보 생성부(340)는 해당 종단 단말(N1~Nn)의 트래픽 패턴 및 트래픽 제어 이력을 생성하여 단말 정보 수집부(320)로 전송한다.
본 발명의 실시 예에 따르면, 트래픽 제어부(300)가 단말 정보를 분석하여 트래픽 제어 신호를 생성하므로, 동일 네트워크에 연결된 종단 단말들(N1~Nn) 간의 통신을 제한할 수 있다. 또한, 본 발명의 실시 예에 따르면, 기존에 구성되어 있는 네트워크 망의 구조 및 종단 단말들(N1~Nn)의 단말 정보의 설정 변경 없이 네트워크 보안을 강화하는 것이 가능하므로, 보안이 취약한 L2 스위치를 통한 네트워크 망 구조의 경우에도, 보안 취약성을 용이하게 보완할 수 있다.
도 2는 본 발명의 다른 실시 예에 따른 통신 제어 시스템의 구성이 간략하게 도시된 블록도이다.
도 1에 전술된 터널링 제어부(100) 및 스위칭부(200)는 트래픽 제어부(300)와 다른 모듈에 구성된 경우가 설명되었으나, 본 발명은 이에 한정되지 않는다. 본 발명의 다른 실시 예에 따르면, 보안 게이트웨이가 별도로 구비되기 어려운 경우, 트래픽 제어부(300)는 터널링 제어부(100) 및 스위칭부(200)와 동일한 모듈 내에 구성될 수도 있다.
도 2를 참조하면, 본 발명의 다른 실시 예에 따른 통신 제어 시스템(1000-1)의 보안 스위칭 모듈(SM-1)은 터널링 제어부(100), 스위칭부(200), 및 트래픽 제어부(300)를 포함한다. 즉, 본 실시 예에 따른 통신 제어 시스템(1000-1)은 별도의 게이트웨이(GW, 도1)를 구비하지 않을 수 있다. 도 2에 도시된 터널링 제어부(100), 스위칭부(200), 및 트래픽 제어부(300)의 구성 및 기능은 도 1의 전술된 실시 예의 터널링 제어부(100), 스위칭부(200), 및 트래픽 제어부(300)의 구성 및 기능과 동일하므로, 도면 부호를 병기하고, 설명을 생략한다.
도 3 및 도 4는 본 발명의 다른 실시 예에 따른 통신 제어 시스템의 구성이 간략하게 도시된 블록도이다. 본 발명에 따른 통신 제어 시스템(1000-2, 1000-3)은 트래픽 제어의 효율성을 높이기 위하여 인증부를 따로 구비하여 필수적인 인증 프로토콜을 우선적으로 수행할 수 있다. 도 3은 인증 프로토콜을 수행하는 인증부(400)가 보안 게이트웨이(GW-2)에만 구비되는 중앙 집중형 구조가 도시된 도면이고, 도 4는 인증부(400A, 400B)가 보안 스위칭 모듈(SM-3) 및 보안 게이트웨이(GW-3) 각각에 분산되어 구비되는 분산형 구조가 도시된 도면이다.
도 3을 참조하면, 본 발명의 다른 실시 예에 따른 통신 제어 시스템(1000-2)의 보안 게이트웨이(GW-2)는 인증부(400)를 더 포함한다. 인증부(400)는 보안 게이트웨이(GW-2)에 수신되는 단말 정보 중 필수 인증에 필요한 인증 정보를 별도로 저장할 수 있다. 상기 인증 정보는 기등록 종단 단말 리스트(ACL), 라우팅 정책 테이블(RT), 방화벽 정책(FW) 등을 포함할 수 있다. 예시적으로, 상기 기등록 종단 단말 리스트(ACL)는 종단 단말들의 MAC 어드레스, IP 어드레스, 터널링 ID 중 적어도 어느 하나일 수 있다. 본 발명은 인증 정보의 종류에 특별히 한정되지는 않는다. 본 발명의 다른 실시 예에서, 인증 정보는 종단 단말 리스트(ACL), 라우팅 정책 테이블(RT) 및 방화벽 정책(FW) 외에도 인증에 필요한 정보들을 더 포함할 수도 있다.
인증 정보는 통신 정보 생성부(340)로부터 수신된 정보를 포함하거나, 관리자에 의하여 설정된 정보일 수 있다. 인증부(400)는 통신 정보 생성부(340)로부터 수신된 정보를 기저장된 인증 정보에 취합하여 업데이트를 수행할 수 있다.
인증부(400)는 모니터링부(320)가 처리 대상 트래픽의 검출을 수행하기 전에, 보안 게이트웨이(GW-2)에 수신된 단말 정보를 상기 인증 정보와 우선적으로 비교한다. 먼저, 상기 단말 정보가 기등록 종단 단말 리스트(ACL)에 등록되어 있는 경우, 인증부(400)는 상기 단말 정보에 대한 라우팅 정책(RT) 및 방화벽 정책(FW)이 존재하는지를 확인한다. 라우팅 정책(RT) 및 방화벽 정책(FW)이 존재하는 경우, 해당 종단 단말(N1~Nn)에 대한 트래픽 허용 신호를 스위칭부(200)에 송신한다. 라우팅 정책(RT) 및 방화벽 정책(FW)이 존재하지 않은 경우, 해당 단말 정보는 모니터링부(320)로 송신된다.
상기 단말 정보가 기등록 종단 단말 리스트(ACL)에 등록되지 않은 경우, 인증부(400)는 해당 종단 단말에 대한 트래픽 차단 신호를 생성한다.
도면에 도시되지 않았으나, 본 발명의 다른 실시 예에 따르면, 보안 스위칭 모듈(SM)은 예비 인증부(미도시)를 더 포함할 수 있다. 예비 인증부(미도시)는 보안 스위칭 모듈(SM)로 상기 필수 인증에 필요한 인증 정보 중 기등록 종단 단말 리스트(ACL)를 별도로 저장할 수 있다. 이 경우, 인증부(400)에서 저장하는 인증 정보는 상기 기등록 종단 단말 리스트(ACL)를 포함하지 않을 수 있다.
예비 인증부(미도시)는 보안 스위칭 모듈(SM)로 수신되는 단말 정보가 기등록 종단 단말 리스트(ACL)에 등록되어 있는지를 확인한다. 등록된 경우, 예비 인증부(미도시)는 상기 단말 정보를 보안 게이트 웨이(GW-2)의 인증부(400)로 송신한다. 인증부(400)는 수신된 단말 정보에 대한 라우팅 정책 및 방화벽 정책과 같은 접근 제어 정책이 존재하는 지 여부를 확인한다. 라우팅 정책 및 방화벽 정책이 존재하는 경우, 인증부(400)는 보안 스위칭 모듈(SM)의 스위칭부(200)로 상기 단말 정보를 송신하고, 라우팅 정책 및 방화벽 정책이 존재하지 않는 경우, 상기 단말 정보를 트래픽 제어부(300)로 송신한다.
상기 단말 정보가 기등록 종단 단말 리스트(ACL)에 등록되지 않은 경우, 예비 인증부(미도시)는 해당 종단 단말에 대한 트래픽 차단 신호를 생성한다.
도 4를 참조하면, 본 발명의 다른 실시 예에 따른 통신 제어 시스템(1000-3)의 보안 스위칭 모듈(SM-3)은 제1 인증부(400A)를 포함한다. 제1 인증부(400A)는 보안 스위칭 모듈(SM-3)에 연결된 종단 단말들(N1~Nn)의 단말 정보 중 필수 인증에 필요한 제1 인증 정보를 별도로 저장할 수 있다. 상기 제1 인증 정보는 기등록된 종단 단말 리스트, 라우팅 정책 테이블, 방화벽 정책 등을 포함할 수 있다.
제1 인증부(400A)는 스위칭부(200)로 종단 단말(N1~Nn)의 패킷이 전달되기 전에, 보안 스위칭 모듈(SM-3)에 수신된 단말 정보를 제1 인증 정보와 우선적으로 비교하는 제1 차 인증을 수행한다. 상기 단말 정보가 기등록 종단 단말 리스트(ACL)에 등록되어 있는 경우, 제1 인증부(400A)는 상기 단말 정보에 대한 접근 제어 정책이 존재하는지를 확인한다. 접근 제어 정책이 존재하는 경우, 해당 종단 단말(N1~Nn)에 대한 트래픽 허용 신호를 스위칭부(200)에 송신한다. 접근 제어 정책이 존재하지 않은 경우, 해당 단말 정보는 보안 게이트웨이(GW-3)로 송신한다. 상기 단말 정보가 기등록 종단 단말 리스트(ACL)에 등록되지 않은 경우, 제1 인증부(400A)는 해당 종단 단말에 대한 트래픽 차단 신호를 생성한다.
보안 게이트웨이(GW-3)는 제2 인증부(400B)를 포함한다. 제2 인증부(400B)는 보안 게이트웨이(GW-3)로 수신되는 단말 정보 중 필수 인증에 필요한 제2 인증 정보를 별도로 저장할 수 있다. 제2 인증 정보는 기등록된 종단 단말 리스트, 라우팅 정책 테이블, 방화벽 정책 등을 포함할 수 있다. 제2 인증 정보는 제1 인증 정보를 포함한다.
제2 인증부(400B)는 모니터링부(320)가 처리 대상 트래픽의 검출을 수행하기 전에, 보안 게이트웨이(GW-3)에 수신된 단말 정보를 제2 인증 정보와 우선적으로 비교하는 제2 차 인증을 수행한다. 해당 단말 정보는 제1 차 인증이 완료되지 않은 단말 정보일 수 있다.
상기 단말 정보가 제2 인증부(400B)의 기등록 종단 단말 리스트에 등록되어 있는 경우, 제2 인증부(400B)는 상기 단말 정보에 대한 접근 제어 정책이 존재하는지를 확인한다. 접근 제어 정책이 존재하는 경우, 해당 종단 단말(N1~Nn)에 대한 트래픽 허용 신호를 스위칭부(200)에 송신한다. 접근 제어 정책이 존재하지 않은 경우, 해당 단말 정보는 보안 게이트웨이(GW-3)로 송신한다. 상기 단말 정보가 기등록 종단 단말 리스트(ACL)에 등록되지 않은 경우, 제2 인증부(400B)는 해당 종단 단말에 대한 트래픽 차단 신호를 생성한다.
도면에는 도시되지 않았으나, 본 발명의 다른 실시 예에 따르면, 통신 제어 시스템(미도시)의 보안 스위칭 모듈(미도시)은 복수로 제공될 수 있다. 이 경우, 복수의 보안 스위칭 모듈들(미도시) 각각은 보안 게이트웨이(미도시)에 구비된 복수의 물리 포트들과 일대일 연결될 수 있다.
보안 스위칭 모듈(미도시)이 복수로 제공되는 경우, 전술된 제2 인증 정보는 복수의 보안 스위칭 모듈들 각각에 연결된 종단 단말들의 필수 인증을 위한 인증 정보들을 포함할 수 있다.
도 3 및 도 4에 전술된 실시 예들에 따르면, 네트워크 트래픽 제어 정책을 중앙 집중화 혹은 분산화가 가능하므로, 네트워크 트래픽의 Hop을 용이하게 조절할 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시 예들을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시 예로 국한되는 것은 아니고, 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형 실시될 수 있다.
따라서, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 그러므로, 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
10: 통신 제어 시스템 SM: 보안 스위칭 모듈
GW: 보안 게이트웨이 NG: 종단 단말 그룹
N1~Nn: 종단 단말 100: 터널링제공부
200: 스위칭부 300: 트래픽 제어부
310: 단말 정보 수집부 320: 모니터링부
330: 통신 정보 생성부 340: 트래픽 처리부
400: 인증부

Claims (12)

  1. 복수의 종단 단말들;
    동일 네트워크를 통하여 상기 종단 단말들 간의 패킷을 전달하는 스위칭부;
    상기 종단 단말들 및 상기 스위칭부 간의 터널링을 수행하고, 상기 종단 단말들 각각에 터널링 ID를 부여하는 터널링 제공부; 및
    상기 스위칭부로부터 상기 복수의 종단 단말들 중 트래픽이 발생된 종단 단말의 단말 정보를 수신하고, 상기 단말 정보를 분석하여 트래픽 제어 신호를 생성하고, 상기 트래픽 제어 신호를 상기 스위칭부로 송신하는 트래픽 제어부를 포함하고,
    상기 단말 정보는 상기 터널링 ID 및 MAC 어드레스를 포함하고,
    상기 스위칭부는 상기 트래픽 제어부로부터 수신된 상기 트래픽 제어 신호에 대응하여 상기 종단 단말들 간의 상기 패킷을 전달하고,
    상기 스위칭부, 상기 터널링 제공부 및 상기 트래픽 제어부는 하나 이상의 모듈 내에 구성되고,
    상기 터널링 제공부는 상기 종단 단말들 및 상기 스위칭부 간에 L2 터널링을 수행하며,
    상기 스위칭부 및 상기 터널링 제공부는 보안 스위칭 모듈 내 구성되고,
    상기 트래픽 제어부는 보안 게이트웨이에 구성되고,
    상기 보안 스위칭 모듈은 복수의 물리 포트들을 통하여 상기 종단 단말들 및 상기 보안 게이트웨이 각각과 연결되는 통신 제어 시스템.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제 1 항에 있어서,
    상기 보안 스위칭 모듈은, L2 스위치 또는 L3 라우터인 통신 제어 시스템.
  6. 제 1 항에 있어서,
    상기 트래픽 제어부는,
    상기 단말 정보를 수집 및 저장하는 단말 정보 수집부;
    상기 단말 정보 수집부로부터 수신된 단말 정보를 기저장된 단말 정보와 비교하여 처리 대상 트래픽을 검출하는 모니터링부;
    상기 처리 대상 트래픽의 차단 여부를 결정하여 상기 트래픽 제어 신호를 생성하는 트래픽 처리부; 및
    상기 트래픽 처리부로부터 처리가 완료된 단말 정보를 신규로 등록하거나, 상기 기저장된 단말 정보에 취합 및 업데이트를 수행하는 통신 정보 생성부를 포함하는 통신 제어 시스템.
  7. 제 6 항에 있어서,
    상기 모니터링부는 상기 수신된 단말 정보를 기저장된 단말 정보와 비교 및 분석하여 해당 종단 단말의 최초 연결 여부, 물리적 단절 이력 및 발생된 트래픽 패턴의 이상 여부 등을 감지하여 상기 처리 대상 트래픽을 검출하는 통신 제어 시스템.
  8. 제 6 항에 있어서,
    상기 보안 게이트웨이는 상기 단말 정보 중 인증에 필요한 인증 정보를 별도로 저장하는 인증부를 더 포함하고,
    상기 인증 정보는 기등록 단말 리스트, 라우팅 정책, 방화벽 정책 등을 포함하고,
    상기 인증부는 상기 모니터링부가 처리 대상 트래픽의 검출을 수행하기 전에, 상기 보안 게이트웨이에 수신된 단말 정보를 상기 인증부에 저장된 상기 인증 정보와 우선적으로 비교하고,
    상기 단말 정보가 인증이 완료된 경우, 해당 종단 단말에 대한 트래픽 허용 신호를 상기 스위칭부에 송신하고,
    상기 단말 정보가 인증이 완료되지 않은 경우, 상기 단말 정보를 상기 모니터링부로 송신하는 통신 제어 시스템.
  9. 제 8 항에 있어서,
    상기 통신 정보 생성부는 상기 트래픽 처리부로부터 처리가 완료된 단말 정보 중 적어도 일부 정보를 상기 인증부에 송신하고, 상기 인증부는 수신된 상기 일부 정보를 기저장된 인증 정보에 취합 및 업데이트를 수행하는 통신 제어 시스템.
  10. 제 6 항에 있어서,
    상기 보안 스위칭 모듈은, 상기 보안 스위칭 모듈에 연결된 상기 종단 단말들의 단말 정보 중 인증에 필요한 제1 인증 정보를 별도로 저장하는 제1 인증부를 더 포함하고,
    상기 보안 게이트웨이는, 상기 보안 게이트웨이로 수신되는 단말 정보 중 인증에 필요한 제2 인증 정보를 별도로 저장하는 제2 인증부를 더 포함하고,
    상기 제1 인증 정보 및 제2 인증 정보는 기등록 단말 리스트, 라우팅 정책, 방화벽 정책 등을 포함하고,
    상기 제2 인증 정보는 상기 제1 인증 정보를 포함하고,
    상기 제1 인증부는 상기 스위칭부로 상기 종단 단말의 패킷이 전달되기 전에, 상기 보안 스위칭 모듈에 수신된 단말 정보를 상기 제1 인증 정보와 우선적으로 비교하는 제1 차 인증을 수행하고,
    상기 단말 정보의 상기 제1 차 인증이 완료된 경우, 해당 종단 단말에 대한 트래픽 허용 신호를 상기 스위칭부에 송신하고,
    상기 단말 정보의 상기 제1 차 인증이 완료되지 않은 경우, 상기 단말 정보를 상기 보안 게이트웨이로 송신하고,
    상기 제2 인증부는 상기 모니터링부가 처리 대상 트래픽의 검출을 수행하기 전에, 상기 보안 게이트웨이에 수신된 상기 단말 정보를 상기 제2 인증 정보와 우선적으로 비교하는 제2 차 인증을 수행하고,
    상기 단말 정보의 상기 제2 차 인증이 완료된 경우, 해당 종단 단말에 대한 트래픽 허용 신호를 상기 스위칭부에 송신하고,
    상기 단말 정보의 상기 제2 차 인증이 완료되지 않은 경우, 상기 단말 정보를 상기 모니터링부로 송신하는 통신 제어 시스템.
  11. 제 10 항에 있어서,
    상기 보안 스위칭 모듈은 복수로 제공되고,
    상기 보안 게이트웨이는 복수의 물리 포트들을 통하여 상기 복수의 보안 스위칭 모듈들과 연결되는 통신 제어 시스템.
  12. 제 6 항에 있어서,
    상기 보안 게이트웨이는 상기 트래픽 제어부와 데이터를 송수신하는 중앙 서버를 더 포함하고,
    상기 중앙 서버는 상기 단말 정보 수집부에 수집된 단말 정보들을 수신하여 기계 학습하고, 학습된 데이터를 상기 단말 정보 수집부에 송신하는 통신 제어 시스템.
KR1020210109232A 2021-06-08 2021-08-19 네트워크 터널링 기반 동일 네트워크 내 장비 별 통신 제어 시스템 KR102555773B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20210074361 2021-06-08
KR1020210074361 2021-06-08

Publications (2)

Publication Number Publication Date
KR20220165619A KR20220165619A (ko) 2022-12-15
KR102555773B1 true KR102555773B1 (ko) 2023-07-17

Family

ID=84439569

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210109232A KR102555773B1 (ko) 2021-06-08 2021-08-19 네트워크 터널링 기반 동일 네트워크 내 장비 별 통신 제어 시스템

Country Status (1)

Country Link
KR (1) KR102555773B1 (ko)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101146139B1 (ko) * 2008-12-22 2012-05-16 한국전자통신연구원 패킷 전송 네트워크에서의 단말의 이동성 제공 방법 및 패킷 전송 네트워크 시스템, 게이트웨이 스위치
WO2013097900A1 (en) * 2011-12-29 2013-07-04 Nokia Siemens Networks Oy Conveying traffic in a communications network system

Also Published As

Publication number Publication date
KR20220165619A (ko) 2022-12-15

Similar Documents

Publication Publication Date Title
US11595396B2 (en) Enhanced smart process control switch port lockdown
US10447655B2 (en) Method for controlling transmission security of industrial communications flow based on SDN architecture
US7978595B2 (en) Method for processing multiple active devices in stacking system and stacking member device
JP5062967B2 (ja) ネットワークアクセス制御方法、およびシステム
US9813448B2 (en) Secured network arrangement and methods thereof
US20070101422A1 (en) Automated network blocking method and system
Aggarwal et al. Securing IoT devices using SDN and edge computing
JP2007006054A (ja) パケット中継装置及びパケット中継システム
EP3195578A1 (en) Event driven route control
CN107257332A (zh) 大型防火墙集群中的定时管理
KR20160002269A (ko) Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법
CA2983429C (en) Network security analysis for smart appliances
KR101887544B1 (ko) Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템
KR101881061B1 (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
KR102555773B1 (ko) 네트워크 터널링 기반 동일 네트워크 내 장비 별 통신 제어 시스템
CN101909021A (zh) Bgp网关设备及利用该设备实现通断网关功能的方法
KR100478910B1 (ko) 아이피 충돌 검출 및 차단 시스템과 그 방법
CN113810361A (zh) 一种无ip防火墙的快速部署管理方法
KR101804633B1 (ko) 패킷 처리를 위한 장치 및 방법
CN105791205A (zh) 一种防止ddos攻击的方法和装置
KR20200116773A (ko) Sdn 기반의 검사시스템
KR20190136793A (ko) 소프트웨어 정의 네트워크 환경에서 소프트웨어 정의 네트워크 스위치, 이를 이용한 제어 채널의 인밴드 구성 및 유무선 이중화 방법
CN114697136B (zh) 一种基于交换网络的网络攻击检测方法与系统
JP5879223B2 (ja) ゲートウェイ装置、ゲートウェイシステムおよび計算機システム
KR102246290B1 (ko) 소프트웨어 정의 네트워크 기반 망 분리 방법, 장치 및 컴퓨터 프로그램

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant