KR20150116170A - 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법 - Google Patents

다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법 Download PDF

Info

Publication number
KR20150116170A
KR20150116170A KR1020140041005A KR20140041005A KR20150116170A KR 20150116170 A KR20150116170 A KR 20150116170A KR 1020140041005 A KR1020140041005 A KR 1020140041005A KR 20140041005 A KR20140041005 A KR 20140041005A KR 20150116170 A KR20150116170 A KR 20150116170A
Authority
KR
South Korea
Prior art keywords
wireless
data security
tunnel
tunnels
terminal
Prior art date
Application number
KR1020140041005A
Other languages
English (en)
Inventor
정우석
김은주
박종대
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140041005A priority Critical patent/KR20150116170A/ko
Priority to US14/623,008 priority patent/US9491625B2/en
Publication of KR20150116170A publication Critical patent/KR20150116170A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)

Abstract

본 발명은 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 무선 네트워크 구간에서의 전 계층에 걸친 무선 보안을 지원하는 무선 접속 장치에 관한 기술이다.
본 발명의 실시예에 따른 다중 데이터 보안 터널을 구성하는 무선 접속 장치는 무선 네트워크 접속 제어, 관제를 위한 정책 및 인증 정보를 전달하는 제어 보안 터널을 관리하는 제어 보안 터널 관리부; 및 복수개의 무선 단말별로 데이터 보안 터널을 생성하되 상기 복수개의 무선 단말의 응용서비스별로 다중 데이터 보안 터널을 생성 및 관리하는 다중 데이터 보안 터널 관리부를 포함할 수 있다.

Description

다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법{Access point apparatus for consisting multiple secure tunnel, system having the same and method thereof}
본 발명은 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 무선 네트워크 구간에서의 전 계층에 걸친 무선 보안을 지원하는 무선 접속 장치에 관한 기술이다.
최근 무선통신의 편리함으로 인하여 3G망 또는 인터넷망을 이용한 이동 통신, 지그비(Zigbee), RFID 등과 같은 근거리 무선통신 등 다양한 무선 통신을 이용하는 사용자가 폭발적으로 증가하고 있다. 또한, 이러한 무선통신을 이용한 다양한 서비스들의 제공이 증가하고 있다.
그러나 무선 통신은 유선 통신에 비해 손쉽게 접근 가능하다는 장점이 있으나, 해킹 등에 상대적으로 취약점을 가지고 있다. 이러한 무선 구간 보안을 위하여 AES-128와 같이 MAC 레벨에서 데이터를 암호화 하고, SSID를 통한 접근 제어, 데이터 암호화를 위한 정보 보호 등의 다양한 기술이 적용되고 개발되어 왔다.
그러나 이러한 기술은 보안 키를 기반으로 동작하기 때문에 한 개의 보안 키가 탈취되면 해당 모든 무선 통신 구간에서 발생하는 정보의 안전을 보장하지 못하는 문제점이 발생한다.
따라서, 무선 네트워크 전 계층에서의 무선 네트워크 보안 기술이 요구되고 있다.
특허공개번호 KR 2009-0065023호
본 발명에서는 무선 네트워크 구간에서 단말별 및 응용서비스별 무선 다중 데이터 보안 터널을 생성하여 무선 네트워크 구간에서 전계층에 무선 보안을 제공할 수 있는 무선 접속 장치를 제공하고자 한다.
본 발명의 실시예에 따른 다중 데이터 보안 터널을 구성하는 무선 접속 장치는 무선 네트워크 접속 제어, 관제를 위한 정책 및 인증 정보를 전달하는 제어 보안 터널을 관리하는 제어 보안 터널 관리부; 및 복수개의 무선 단말별로 데이터 보안 터널을 생성하되 상기 복수개의 무선 단말의 응용서비스별로 다중 데이터 보안 터널을 생성 및 관리하는 다중 데이터 보안 터널 관리부를 포함할 수 있다.
또한, 상기 제어 보안 터널 관리부는, 상기 제어 보안 터널을 통해 전달받은 상기 무선 네트워크 접속 제어, 관제를 위한 정책을 저장 및 관리하는 보안 정책 관리부; 및 상기 제어 보안 터널을 통해 전달받은 인증정보를 저장하고 상기 다중 데이터 보안 터널 관리부로부터 터널 생성을 요청한 무선 단말에 대한 인증 요청을 받으면 인증을 수행하는 인증 캐시부를 포함할 수 있다.
또한, 상기 다중 데이터 보안 터널 관리부는, 상기 무선 단말로부터 터널 생성을 요청받으면 상기 무선 단말과 상기 무선 단말에서 실행되고 있는 응용서비스를 식별하는 단말 및 응용 식별부; 및 상기 복수개의 무선 단말과의 다중 데이터 보안 터널을 생성, 유지 및 종료를 제어하는 다중 데이터 보안 터널 제어부를 포함할 수 있다.
또한, 상기 다중 데이터 보안 터널 관리부는, 무선 네트워크 구간에서 생성된 다중 데이터 보안 터널을 유선 네트워크 구간으로 연결시키도록 상기 다중 데이터 보안 터널을 응용 서비스 단위로 재분류 및 생성하는 응용별 터널 다중화부를 더 포함할 수 있다.
또한, 상기 응용별 터널 다중화부는, 상기 무선 네트워크 구간에서의 응용 서비스 단위로 통합하여 상기 유선 네트워크 구간에서는 상기 다중 데이터 보안 터널의 수를 감소시켜 구성할 수 있다.
본 발명에 따른 다중 데이터 보안 터널을 구성하는 무선 접속 시스템은 무선 네트워크에 접속되는 무선 단말; 유선 네트워크에 접속되는 인터넷 서버; 상기 무선 네트워크에서 상기 무선 단말과 응용서비스별로 다중 데이터 보안 터널을 생성 및 종료하고, 상기 유선 네트워크에서 상기 인터넷 서버와 응용 서비스별로 다중 데이터 보안 터널을 생성 및 종료하는 무선 접속 장치를 포함할 수 있다.
또한, 상기 무선 접속 장치는, 상기 무선 단말과의 다중 데이터 보안 터널을 응용 서비스 단위로 재분류하여 상기 인터넷 서버와의 다중 데이터 보안 터널을 생성하되, 상기 무선 단말과의 다중 데이터 보안 터널의 수보다 상기 인터넷 서버와의 다중 데이터 보안 터널의 수가 적은 것을 특징으로 한다.
또한, 상기 무선 접속 장치로 제어 보안 터널을 통해 인증정보를 전달하는 인증서버; 및 상기 제어 보안 터널을 통해 무선 네트워크 접속 제어, 관제를 위한 정책을 전달하는 관제서버를 더 포함할 수 있다.
상기 무선 접속장치는, 무선 네트워크 접속 제어, 관제를 위한 정책 및 인증 정보를 전달하는 제어 보안 터널을 관리하는 제어 보안 터널 관리부; 및 상기 무선 단말별로 데이터 보안 터널을 생성하되 상기 복수개의 무선 단말의 응용서비스별로 다중 데이터 보안 터널을 생성 및 관리하는 다중 데이터 보안 터널 관리부를 포함할 수 있다.
또한, 상기 다중 데이터 보안 터널 관리부는, 상기 무선 단말로부터 터널 생성을 요청받으면 상기 무선 단말과 상기 무선 단말에서 실행되고 있는 응용서비스를 식별하는 단말 및 응용 식별부; 및 상기 무선 단말과의 다중 데이터 보안 터널을 생성, 유지 및 종료를 제어하는 다중 데이터 보안 터널 제어부를 포함할 수 있다.
또한, 상기 다중 데이터 보안 터널 관리부는, 상기 무선 네트워크 구간에서 생성된 다중 데이터 보안 터널을 유선 네트워크 구간으로 연결시키도록 상기 다중 데이터 보안 터널을 응용 서비스 단위로 재분류 및 생성하는 응용별 터널 다중화부를 더 포함할 수 있다.
또한, 상기 응용별 터널 다중화부는, 상기 무선 네트워크 구간에서의 응용 서비스 단위로 통합하여 상기 유선 네트워크 구간에서는 상기 다중 데이터 보안 터널의 수를 감소시켜 구성할 수 있다.
본 발명에 따른 무선 접속 장치의 다중 데이터 보안 터널 구성 방법은 무선 단말로부터 무선 데이터 터널 생성 요청을 받으면 단말 및 응용 서비스를 식별하는 단계; 식별된 단말에 대한 인증을 수행하는 단계; 및 상기 인증이 승인되면, 상기 무선 단말의 응용 서비스에 해당하는 무선 데이터 보안 터널을 생성하는 단계를 포함할 수 있다.
또한, 상기 무선 데이터 보안 터널을 생성하는 단계는, 상기 무선 데이터 보안 터널을 상기 무선 단말의 응용서비스별로 복수개로 다중화하여 무선 다중 데이터 보안 터널을 생성할 수 있다.
또한, 상기 다중 무선 데이터 보안 터널을 응용 서비스 단위로 재분류하여 유선 네트워크 구간에 유선 다중 데이터 보안 터널을 생성하는 단계를 더 포함할 수 있다.
또한, 상기 인증을 수행하는 단계는, 상기 무선 데이터 터널 생성을 요청한 무선 단말의 인증정보가 상기 무선 접속 장치 내에 저장되어 있는지를 판단하는 단계; 상기 무선 데이터 터널 생성을 요청한 무선 단말의 인증정보가 상기 무선 접속 장치 내에 저장되어 있는 경우 인증 승인 신호를 출력하는 단계; 및 상기 무선 데이터 터널 생성을 요청한 무선 단말의 인증정보가 상기 무선 접속 장치 내에 저장되어 있지 않은 경우, 제어 보안 터널을 통해 인증 서버에 인증을 요청하는 단계를 포함할 수 있다.
또한, 상기 인증 정보는 상기 무선 단말의 ID 정보, 인증키 정보를 포함할 수 있다.
또한, 상기 단말 및 응용 서비스를 식별하는 단계는, 상기 무선 단말로부터 수신한 패킷의 헤더 정보를 이용하여 단말 및 응용 서비스를 식별할 수 있다.
본 기술은 유선 네트워크 구간의 데이터 보안 터널을 무선 네트워크 구간으로 확장할 뿐 아니라, 사용자 및 응용별 보안 터널을 관리하는 무선 접속 장치를 제공함으로써, 다양한 공격에 의해 키를 탈취당하여도 보안 위협 정도를 특정 사용자에게 국한시켜 피해를 최소화할 수 있다.
도 1은 본 발명의 실시예에 따른 무선 다중 데이터 보안 터널을 구성한 무선 접속 시스템의 구성도이다.
도 2는 본 발명의 실시예에 따른 무선 접속 장치의 세부 구성도이다.
도 3은 본 발명의 실시예에 따른 무선 접속 장치의 무선 다중 데이터 보안 터널 생성 방법을 나타내는 순서도이다.
이하 본 발명이 속하는 기술분야에서 통상의 지식을 가진자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시예를 첨부도면을 참조하여 설명하기로 한다.
본 발명은 유선 네트워크 구간의 보안 터널을 무선 네트워크 구간으로 확장할 뿐 아니라, 단말별 및 응용 서비스별 다중 데이터 보안 터널을 관리하는 무선 접속 장치를 제공함으로써, 다양한 공격에 의해 인증키를 탈취당하더라도 하나의 터널 즉 하나의 응용서비스 또는 하나의 단말로 보안 위협이 국한되어, 무선 네트워크의 보안을 강화할 수 있는 기술이다.
이하, 도 1 내지 도 3을 참조하여 본 발명의 실시예에 따른 무선 네트워크 구간에서의 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 무선 접속 시스템 및 그 방법에 대해 설명하기로 한다.
도 1은 본 발명의 실시예에 따른 다중 데이터 보안 터널을 구성한 무선 접속 시스템의 구성도이다.
본 발명에 따른 무선 접속 시스템은 무선 접속 장치(100), 무선 단말(200a, …, 200n), 관제서버(300), 인증서버(400), 인터넷 서버(500)를 포함한다.
이때, 무선 접속 장치(100)와 무선 단말(200a, …, 200n)은 무선 다중 데이터 보안 터널(611a, 611b, …, 611n, 621a, 621b, …, 621n)로 연결되며 각 단말별로 무선 다중 데이터 보안 터널 묶음을 편의상 보안터널 파이프(600a, …, 600n)로 표시할 수 있다. 또한, 무선 접속 장치(100)는 유선 네트워크(900)를 통해 관제서버(300), 인증서버(400), 인터넷 서버(500) 등과 연결된다. 이때, 무선 접속 장치(100)는 제어 보안 터널(800)을 통해 관제 서버(300) 및 인증서버(400)와 연결되어 정책 또는 인증 정보를 송수신한다. 또한, 무선 접속 장치(100)는 인터넷 서버(500)와 응용 서비스별 유선 다중 데이터 보안 터널(700a,…, 700m)을 형성한다. 이때, 유선 네트워크에서의 응용 서비스별 유선 다중 데이터 보안 터널(700a, …, 700m)의 수는 무선 네트워크에서의 응용 서비스별 무선 다중 데이터 보안 터널(611a, 611b, …, 611n, 621a, 621b, …, 621n)의 수보다 적게 구현하여 유선 네트워크의 망 성능 저하를 최소화하도록 한다.
관제서버(300)는 무선 네트워크 접속 제어 및 무선 네트워크 관제를 위한 정책을 관리하고 이러한 정책들을 제어 보안 터널(800)을 통해 무선 접속 장치(100)로 전송한다.
인증 서버(400)는 데이터 보안 터널 생성을 위한 인증 정보를 저장하고, 무선 접속 장치(100)로부터 인증 요청을 받으면 저장되어 있는 인증 정보를 이용하여 인증을 수행하고 그 결과를 무선 접속 장치(100)로 전송한다. 이때, 인증 정보는 단말 접근 제어를 위한 단말 ID, 터널 생성을 위한 인증키정보 등 접근 제어 및 터널 관리를 위해 필요한 모든 네트워크 정보를 포함할 수 있다.
인터넷 서버(500)는 무선 접속 장치(100)와 유선 네트워크를 통해 연결되며 무선 접속장치(100)와 인터넷 서버(500) 사이에 응용 서비스별 데이터 보안 터널(700a, …, 700m)이 형성된다.
이와 같이, 본 발명은 무선 접속 장치(100)와 무선 단말(200a, …, 200n) 간에 단말별 및 응용 서비스별로 무선 다중 데이터 보안 터널(611a, 611b, …, 611n, 621a, 621b, …, 621n)을 형성하여 인증 키 탈취 등 문제가 발생하더라도 해당 응용서비스에 관련된 보안의 문제로 국한시킴으로써 무선 네트워크에서의 보안을 강화할 수 있다.
도 2는 본 발명의 실시예에 따른 무선 접속 장치(100)의 세부 구성도이다.
본 발명에 따른 무선 접속 장치는 제어 보안 터널 관리부(110)와 다중 데이터 보안 터널 관리부(120)를 포함한다.
제어 보안 터널 관리부(110)는 접근 제어, 인증 및 정책들을 전달하기 위한 제어 보안 터널을 관리하기 위한 것으로, 제어 보안 터널(800)을 통해 관제서버(300) 및 인증서버(400)와 연동한다. 즉, 제어 보안 터널 관리부(100)는 관제서버(300)로부터 무선 네트워크 접속 제어 및 무선 네트워크 관제를 위한 정책 정보를 수신하고 인증서버(400)로부터 미등록 단말에 대한 인증을 요청하고 인증 결과를 수신한다. 이때, 무선 네트워크 접속 제어 및 무선 네트워크 관제를 위한 정책은 일반적인 무선 네트워크 무선 접속 기술을 이용하므로 본 발명에서 구체적인 설명은 생략하기로 한다.
이를 위해, 제어 보안 터널 관리부(110)는 정책 관리부(111) 및 인증 캐시부(112)를 포함한다.
정책 관리부(111)는 제어 보안 터널(800)을 통해 관제서버(300)로부터 수신한 무선 네트워크 접속 제어 및 무선 네트워크 관제를 위한 정책을 수신하여 저장한다. 이러한 정책으로는 특정 터널의 대역폭 규제에 대한 정책, 사용자 접속 등급(방문자, 일반 직원, 임원 또는 경영진, 시스템 관리자 등)에 대한 정책, 자원 사용 허가 등급(네트워크, 시스템 접근 등)에 대한 정책, 자료 보안 등급에 대한 정책, 응용 서비스 허가에 대한 정책 등이 포함될 수 있다.
인증 캐시부(112)는 제어 보안 터널(800)을 통해 인증 서버(400)로부터 수신한 인증정보를 목록 형태로 저장하고, 동일한 단말에서 터널 생성 요청을 받는 경우 무선 접속 장치(100)가 인증을 직접 수행할 수 있도록 한다. 이때, 인증 정보는 단말 접근 제어를 위한 단말 ID, 터널 생성을 위한 인증키정보 등 접근 제어 및 터널 관리를 위해 필요한 모든 네트워크 정보를 포함할 수 있다.
또한, 인증 정보 목록은 인증 허용 가능한 목록인 화이트 리스트 또는 인증 거부 목록을 저장하고 있는 블랙 리스트 형태로 저장될 수 있으며 이는 서비스 방법에 따라 다르게 구현될 수 있다.
또한, 사용자는 동일한 종류의 응용 서비스를 집중적으로 사용하는 경우가 많아 현재 사용이 만료된 인증 정보는 곧 다시 사용될 가능성이 높다. 즉 인증 정보는 시간적 또는 공간적 집약도(Locality)가 높은 속성을 가지고 있다. 본 발명에서는 이러한 인증 정보를 저장하는 메모리 구조를 캐시 형태로 구성하며, 인증 캐시부(112)는 인증 정보의 일부를 저장하고 있으며, 인증 캐시부(112)의 모든 인증 정보는 인증 서버(400)에 저장되어야 하지만 인증 서버(400)의 모든 인증 정보가 인증 캐시부(112)에 저장될 필요는 없다. 따라서 인증 캐시부(112)와 인증 서버(400)는 라이트 스루(Write-through) 형태의 캐시 구조를 가진다. 인증 캐시부(112)에 모든 인증 정보가 가득 찼을 경우, 가장 오랜 기간 동안 사용하지 않은 인증 정보를 삭제하고 새로운 인증 정보를 저장한다. 새로운 인증 정보를 저장하는 방법은 인증 캐시부(112)의 구현에 따라 다양한 방법을 사용할 수 있다.
다중 데이터 보안 터널 관리부(120)는 무선 네트워크 구간과 유선 네트워크 구간에서 다중 데이터 보안 터널 연결, 관리 및 종료 등을 관리한다. 이를 위해, 다중 데이터 보안 터널 관리부(120)는 단말 및 응용 식별부(121), 다중 데이터 보안 터널 제어부(122), 응용별 터널 다중화부(123)를 포함한다.
단말 및 응용 식별부(121)는 보안 터널 생성을 요청하는 단말 및 응용 서비스를 식별한다. 이때, 단말 및 응용 식별부(121)는 무선 단말로부터 수신한 패킷의 헤더에 포함되어 있는 목적지 주소정보 및 출발지 주소정보 등을 이용하여 단말을 식별하고, 패킷의 헤더에 포함되어 있는 응용서비스 종류 정보를 이용하여 응용서비스를 식별한다.
다중 데이터 보안 터널 제어부(122)는 단말 및 응용 식별부(121)에서 식별된 단말별 및 응용서비스별로 무선 다중 데이터 보안 터널(611a, 611b, …, 611n, 621a, 621b, …, 621n)을 생성, 유지 및 종료를 제어한다.
응용별 터널 다중화부(123)는 무선 네트워크 구간에서 생성된 단말 및 응용 서비스 단위의 터널을 유선 네트워크로 전송하기 위해 단말 및 응용서비스 단위로 생성된 데이터 터널을 응용 서비스 단위로 재분류하여 유선 다중 데이터 터널(700a, …, 700m)를 생성한다. 즉, 유선 네트워크에서도 무선 네트워크 구간에서 세분화된 다중 터널을 적용하는 경우 많은 수의 터널로 인한 성능 저하가 발생될 수 있다. 이에 무선 네트워크 구간에서의 세분화된 다중 터널을 유선 네트워크 구간에서는 응용서비스 별로 통합하여 다중 터널의 수를 최소화하여 네트워크 성능 저하를 최소화하도록 한다. 즉, 유선 구간은 단말로부터 생성되는 터널 폭주로 인해 정상적인 서비스가 어려울 수 있기 때문에 응용 서비스 단위로 터널을 관리한다. 응용 서비스 단위로 터널을 관리하는 방법은 패킷 헤더 검사를 통하여 동일한 응용 서비스에 대한 패킷들을 플로우 단위로 묶어 보안 터널을 관리하는 방법을 사용한다. 예를 들면 A 단말에서 사용하는 VoIP 서비스와 B 단말에서 사용하는 VoIP 서비스는 무선 구간에서는 개별적으로 생성 관리되지만 유선 구간에서는 VoIP 서비스라는 한 개 보안 터널로 관리된다. 이러한 유/무선 구간 터널 관리 방법은 무선 구간에서 발생하는 허위 터널 생성에 의한 사이버 공격을 차단할 수 있을 뿐 아니라, 급격한 무선 단말 수 및 AP 증가에 대해 유연하게 대처할 수 있는 유선 네트워크 구조를 제시할 수 있다.
이와 같은 구성을 갖는, 본 발명은 무선 네트워크 구간에서 단말기별 다중 데이터 보안 터널을 형성하고, 단말기의 응용서비스별로 무선 다중 데이터 보안 터널을 계층적으로 생성 및 관리함으로써 무선 네트워크 구간에서 중간자 공격과 같은 사이버 공격에 의해 인증키를 탈취당하더라도 그 피해 범위가 하나의 단말 또는 하나의 응용서비스에 국한되도록 하여 사이버 공격에 의한 피해를 최소화할 수 있다.
도 3은 본 발명의 실시예에 따른 무선 접속 장치의 무선 다중 데이터 보안 터널 생성 방법을 나타내는 순서도이다.
먼저, 단말 및 응용 식별부(121)는 무선 단말(200a)로부터 터널 생성을 요청받으면(S101), 단말 및 응용 식별부(121)는 터널 생성을 요청한 단말 및 응용 서비스를 식별한다(S102). 이때, 단말 및 응용 식별부(121)는 무선 단말(200a)로부터 수신한 패킷에 포함되어 있는 헤더 정보를 이용하여 단말 및 응용 서비스를 식별한다. 예를 들어, 무선 단말(200a)의 목적지주소 또는 출발지 주소 정보 정보 등으로 단말을 식별하고, 응용 서비스는 VoIP, HTTP 등인지를 식별한다.
그 후, 단말 및 응용 식별부(121)는 인증 캐시부(112)로 식별된 단말에 대한 단말 및 응용서비스 정보를 전송하면서 인증을 요청한다(S103).
이에, 인증 캐시부(112)는 해당 무선 단말에 대한 인증정보가 자신의 캐시에 저장되어 있는지를 조회하고(S104), 인증정보가 저장되어 있는 경우, 터널 생성 승인을 위한 인증 승인 신호를 단말 및 응용 식별부(121)로 전송한다(S108).
상기 과정 S104에서 해당 무선 단말(200a)에 대한 인증정보가 저장되어 있지 않은 경우 해당 무선 단말(200a)이 미등록 단말인 것으로 판단하고, 제어 보안 터널(800)을 통해 인증 서버(400)로 해당 무선 단말(200a)에 대한 단말 정보 및 응용 서비스 정보를 전송하면서 인증을 요청한다(S105).
이에, 인증 서버(400)는 해당 무선 단말(200a)에 대한 인증 정보를 조회하고(S106), 해당 무선 단말에 대한 인증정보를 제어 보안 터널(800)을 통해 인증 캐시부(112)로 전송한다(S107).
이어서, 인증 캐시부(112)는 인증 서버(400)로부터 수신한 해당 무선 단말(200a)의 인증정보(단말 ID정보, 인증키 등)를 저장하고, 인증정보와 함께 인증 승인 신호를 단말 및 응용 식별부(121)로 전송한다(S108).
그 후, 단말 및 응용 식별부(121)는 해당 무선 단말(200a)의 응용서비스에 대한 터널 연결 개시 신호를 인증정보와 함께 다중 데이터 터널 제어부(122)로 전송한다(S109).
이에, 다중 데이터 터널 제어부(122)는 터널 생성 승인 신호를 인증정보와 함께 무선 단말(200a)로 전송한다(S110).
이어서, 다중 데이터 터널 제어부(122)와 무선 단말(200a) 간에 무선 데이터 보안 터널이 생성된다(S111). 이후 무선 데이터 보안 터널을 통해 데이터의 송수신을 수행한다.
그 후, 다중 데이터 터널 제어부(122)는 무선 단말(200a)로부터 무선 데이터 보안 터널 종료를 요청받으면(S112), 무선 단말(200a)과 연결되어 있는 무선 데이터 보안 터널을 종료시킨다(S113). 본 발명은 단말 및 응용서비스별로 상기 과정(S101 내지 S113)을 반복 수행함으로써 무선 데이터 보안 터널이 다중으로 생성되고 종료된다.
이와 같이, 본 발명은 유선 네트워크 구간뿐만 아니라 무선 네트워크 구간 전계층에서 단말별 및 응용서비스별로 다중 데이터 보안 터널을 형성함으로써 인증키의 탈취 등 공격을 받더라도 그 피해가 하나의 단말 또는 하나의 응용서비스에 대한 데이터 보안 터널에 국한되도록 하여, 무선 네트워크의 보안을 강화시킬 수 있다.
또한, 본 발명은 무선 네트워크 구간보다 보안이 강한 유선 네트워크 구간에서는 단말별 및 응용서비스별 다중 데이터 보안 터널을 재분류 및 통합하여 다중 데이터 보안 터널의 수를 감소시켜 유선 네트워크의 성능을 개선할 수 있다.
상술한 본 발명의 바람직한 실시예는 예시의 목적을 위한 것으로, 당업자라면 첨부된 특허청구범위의 기술적 사상과 범위를 통해 다양한 수정, 변경, 대체 및 부가가 가능할 것이며, 이러한 수정 변경 등은 이하의 특허청구범위에 속하는 것으로 보아야 할 것이다.
100 : 무선 접속 장치 110 : 제어 보안 터널 관리부
120 : 다중 데이터 터널 관리부 111 : 정책 관리부
112 : 인증 캐시부 121 : 단말 및 응용 식별부
122 : 다중 데이터 터널 제어부 123 : 응용별 터널 다중화부
300 : 관제서버 400 : 인증서버
200a, …, 200n : 무선 단말 800 : 제어 보안 터널
611a, 611b, …, 611n, 621a, 621b, …, 621n : 무선 다중 데이터 보안 터널
700a, …, 700m : 유선 다중 데이터 보안 터널
900 : 유선 네트워크

Claims (18)

  1. 무선 네트워크 접속 제어, 관제를 위한 정책 및 인증 정보를 전달하는 제어 보안 터널을 관리하는 제어 보안 터널 관리부; 및
    복수개의 무선 단말별로 데이터 보안 터널을 생성하되 상기 복수개의 무선 단말의 응용서비스별로 다중 데이터 보안 터널을 생성 및 관리하는 다중 데이터 보안 터널 관리부
    를 포함하는 다중 데이터 보안 터널을 구성하는 무선 접속 장치.
  2. 청구항 1에 있어서,
    상기 제어 보안 터널 관리부는,
    상기 제어 보안 터널을 통해 전달받은 상기 무선 네트워크 접속 제어, 관제를 위한 정책을 저장 및 관리하는 보안 정책 관리부; 및
    상기 제어 보안 터널을 통해 전달받은 인증정보를 저장하고 상기 다중 데이터 보안 터널 관리부로부터 터널 생성을 요청한 무선 단말에 대한 인증 요청을 받으면 인증을 수행하는 인증 캐시부
    를 포함하는 것을 특징으로 하는 다중 데이터 보안 터널을 구성하는 무선 접속 장치.
  3. 청구항 1에 있어서,
    상기 다중 데이터 보안 터널 관리부는,
    상기 무선 단말로부터 터널 생성을 요청받으면 상기 무선 단말과 상기 무선 단말에서 실행되고 있는 응용서비스를 식별하는 단말 및 응용 식별부; 및
    상기 복수개의 무선 단말과의 다중 데이터 보안 터널을 생성, 유지 및 종료를 제어하는 다중 데이터 보안 터널 제어부
    를 포함하는 것을 특징으로 하는 다중 데이터 보안 터널을 구성하는 무선 접속 장치.
  4. 청구항 3에 있어서,
    상기 다중 데이터 보안 터널 관리부는,
    무선 네트워크 구간에서 생성된 다중 데이터 보안 터널을 유선 네트워크 구간으로 연결시키도록 상기 다중 데이터 보안 터널을 응용 서비스 단위로 재분류 및 생성하는 응용별 터널 다중화부
    를 더 포함하는 것을 특징으로 하는 다중 데이터 보안 터널을 구성하는 무선 접속 장치.
  5. 청구항 4에 있어서,
    상기 응용별 터널 다중화부는,
    상기 무선 네트워크 구간에서의 응용 서비스 단위로 통합하여 상기 유선 네트워크 구간에서는 상기 다중 데이터 보안 터널의 수를 감소시켜 구성하는 것을 특징으로 하는 다중 데이터 보안 터널을 구성하는 무선 접속 장치.
  6. 무선 네트워크에 접속되는 무선 단말;
    유선 네트워크에 접속되는 인터넷 서버;
    상기 무선 네트워크에서 상기 무선 단말과 응용서비스별로 다중 데이터 보안 터널을 생성 및 종료하고, 상기 유선 네트워크에서 상기 인터넷 서버와 응용 서비스별로 다중 데이터 보안 터널을 생성 및 종료하는 무선 접속 장치
    를 포함하는 다중 데이터 보안 터널을 구성하는 무선 접속 시스템.
  7. 청구항 6에 있어서,
    상기 무선 접속 장치는,
    상기 무선 단말과의 다중 데이터 보안 터널을 응용 서비스 단위로 재분류하여 상기 인터넷 서버와의 다중 데이터 보안 터널을 생성하되, 상기 무선 단말과의 다중 데이터 보안 터널의 수보다 상기 인터넷 서버와의 다중 데이터 보안 터널의 수가 적은 것을 특징으로 하는 다중 데이터 보안 터널을 구성하는 무선 접속 시스템.
  8. 청구항 6에 있어서,
    상기 무선 접속 장치로 제어 보안 터널을 통해 인증정보를 전달하는 인증서버; 및
    상기 제어 보안 터널을 통해 무선 네트워크 접속 제어, 관제를 위한 정책을 전달하는 관제서버
    를 더 포함하는 것을 특징으로 하는 다중 데이터 보안 터널을 구성하는 무선 접속 시스템.
  9. 청구항 6에 있어서,
    상기 무선 접속장치는,
    무선 네트워크 접속 제어, 관제를 위한 정책 및 인증 정보를 전달하는 제어 보안 터널을 관리하는 제어 보안 터널 관리부; 및
    상기 무선 단말별로 데이터 보안 터널을 생성하되 상기 복수개의 무선 단말의 응용서비스별로 다중 데이터 보안 터널을 생성 및 관리하는 다중 데이터 보안 터널 관리부
    를 포함하는 다중 데이터 보안 터널을 구성하는 무선 접속 시스템.
  10. 청구항 9에 있어서,
    상기 다중 데이터 보안 터널 관리부는,
    상기 무선 단말로부터 터널 생성을 요청받으면 상기 무선 단말과 상기 무선 단말에서 실행되고 있는 응용서비스를 식별하는 단말 및 응용 식별부; 및
    상기 무선 단말과의 다중 데이터 보안 터널을 생성, 유지 및 종료를 제어하는 다중 데이터 보안 터널 제어부
    를 포함하는 것을 특징으로 하는 다중 데이터 보안 터널을 구성하는 무선 접속 시스템.
  11. 청구항 10에 있어서,
    상기 다중 데이터 보안 터널 관리부는,
    상기 무선 네트워크 구간에서 생성된 다중 데이터 보안 터널을 유선 네트워크 구간으로 연결시키도록 상기 다중 데이터 보안 터널을 응용 서비스 단위로 재분류 및 생성하는 응용별 터널 다중화부
    를 더 포함하는 것을 특징으로 하는 다중 데이터 보안 터널을 구성하는 무선 접속 시스템.
  12. 청구항 9에 있어서,
    상기 응용별 터널 다중화부는,
    상기 무선 네트워크 구간에서의 응용 서비스 단위로 통합하여 상기 유선 네트워크 구간에서는 상기 다중 데이터 보안 터널의 수를 감소시켜 구성하는 것을 특징으로 하는 다중 데이터 보안 터널을 구성하는 무선 접속 시스템.
  13. 무선 단말로부터 무선 데이터 터널 생성 요청을 받으면 단말 및 응용 서비스를 식별하는 단계;
    식별된 단말에 대한 인증을 수행하는 단계; 및
    상기 인증이 승인되면, 상기 무선 단말의 응용 서비스에 해당하는 무선 데이터 보안 터널을 생성하는 단계
    를 포함하는 무선 접속 장치의 다중 데이터 보안 터널 구성 방법.
  14. 청구항 13에 있어서,
    상기 무선 데이터 보안 터널을 생성하는 단계는,
    상기 무선 데이터 보안 터널을 상기 무선 단말의 응용서비스별로 복수개로 다중화하여 무선 다중 데이터 보안 터널을 생성하는 것을 특징으로 하는 무선 접속 장치의 다중 데이터 보안 터널 구성 방법.
  15. 청구항 14에 있어서,
    상기 다중 무선 데이터 보안 터널을 응용 서비스 단위로 재분류하여 유선 네트워크 구간에 유선 다중 데이터 보안 터널을 생성하는 단계
    를 더 포함하는 무선 접속 장치의 다중 데이터 보안 터널 구성 방법.
  16. 청구항 13에 있어서,
    상기 인증을 수행하는 단계는,
    상기 무선 데이터 터널 생성을 요청한 무선 단말의 인증정보가 상기 무선 접속 장치 내에 저장되어 있는지를 판단하는 단계;
    상기 무선 데이터 터널 생성을 요청한 무선 단말의 인증정보가 상기 무선 접속 장치 내에 저장되어 있는 경우 인증 승인 신호를 출력하는 단계; 및
    상기 무선 데이터 터널 생성을 요청한 무선 단말의 인증정보가 상기 무선 접속 장치 내에 저장되어 있지 않은 경우, 제어 보안 터널을 통해 인증 서버에 인증을 요청하는 단계
    를 포함하는 무선 접속 장치의 다중 데이터 보안 터널 구성 방법.
  17. 청구항 16에 있어서,
    상기 인증 정보는
    상기 무선 단말의 ID 정보, 인증키 정보를 포함하는 것을 특징으로 하는 무선 접속 장치의 다중 데이터 보안 터널 구성 방법.
  18. 청구항 13에 있어서,
    상기 단말 및 응용 서비스를 식별하는 단계는,
    상기 무선 단말로부터 수신한 패킷의 헤더 정보를 이용하여 단말 및 응용 서비스를 식별하는 것을 특징으로 하는 무선 접속 장치의 다중 데이터 보안 터널 구성 방법.
KR1020140041005A 2014-04-07 2014-04-07 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법 KR20150116170A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020140041005A KR20150116170A (ko) 2014-04-07 2014-04-07 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법
US14/623,008 US9491625B2 (en) 2014-04-07 2015-02-16 Access point apparatus for configuring multiple security tunnel, and system having the same and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140041005A KR20150116170A (ko) 2014-04-07 2014-04-07 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20150116170A true KR20150116170A (ko) 2015-10-15

Family

ID=54210759

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140041005A KR20150116170A (ko) 2014-04-07 2014-04-07 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법

Country Status (2)

Country Link
US (1) US9491625B2 (ko)
KR (1) KR20150116170A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220056569A (ko) * 2020-10-28 2022-05-06 주식회사 케이티 네트워크 접속을 제어하기 위한 장치 및 방법
KR102491627B1 (ko) * 2022-07-20 2023-01-27 주식회사 안랩 게이트웨이 장치와 그 접속 처리 방법
WO2024177382A1 (ko) * 2023-02-21 2024-08-29 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101712922B1 (ko) * 2016-06-10 2017-03-08 주식회사 아라드네트웍스 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치
US11902890B2 (en) * 2018-02-03 2024-02-13 Nokia Technologies Oy Application based routing of data packets in multi-access communication networks
US11895092B2 (en) * 2019-03-04 2024-02-06 Appgate Cybersecurity, Inc. Network access controller operation
US20230143157A1 (en) * 2021-11-08 2023-05-11 Vmware, Inc. Logical switch level load balancing of l2vpn traffic

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100617315B1 (ko) 2004-11-18 2006-08-30 한국전자통신연구원 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치
EP2448184A1 (en) * 2008-11-17 2012-05-02 Qualcomm Incorporated Remote access to local network via security gateway
CN101945374B (zh) 2009-07-03 2014-01-01 华为终端有限公司 一种网络切换方法及通讯系统以及相关设备
US8923816B2 (en) 2011-07-28 2014-12-30 Samsung Electronics Co., Ltd. Apparatus and method for providing seamless service between a cellular network and wireless local area network for a mobile user

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220056569A (ko) * 2020-10-28 2022-05-06 주식회사 케이티 네트워크 접속을 제어하기 위한 장치 및 방법
KR102491627B1 (ko) * 2022-07-20 2023-01-27 주식회사 안랩 게이트웨이 장치와 그 접속 처리 방법
WO2024177382A1 (ko) * 2023-02-21 2024-08-29 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Also Published As

Publication number Publication date
US20150288658A1 (en) 2015-10-08
US9491625B2 (en) 2016-11-08

Similar Documents

Publication Publication Date Title
KR20150116170A (ko) 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법
RU2728893C1 (ru) Способ реализации безопасности, устройство и система
CN103596173B (zh) 无线网络认证方法、客户端及服务端无线网络认证装置
CN113949567B (zh) 用户设备容器和网络切片
US9774633B2 (en) Distributed application awareness
US10349311B2 (en) End-to-end quality of service control for a remote service gateway
US20080226075A1 (en) Restricted services for wireless stations
US20200228977A1 (en) Parameter Protection Method And Device, And System
CN101990211B (zh) 网络接入方法、装置和系统
KR20160122992A (ko) 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치
US11109230B2 (en) Network roaming protection method, related device, and system
US20190349406A1 (en) Method, Apparatus, And System For Protecting Data
US20150319618A1 (en) Communication security processing method, and apparatus
CN114697945A (zh) 发现响应消息的生成方法及装置、发现消息的处理方法
CN113596742B (zh) 一种数据传输方法及装置
US20170078288A1 (en) Method for accessing communications network by terminal, apparatus, and communications system
CN108738015A (zh) 网络安全保护方法、设备及系统
CN105681352B (zh) 一种无线网络访问安全管控方法和系统
KR102455515B1 (ko) 홈 네트워크 보안 시스템 및 방법
CN108696482A (zh) 一种阻断Wi-Fi恶意攻击的方法及装置
KR102123549B1 (ko) 인터넷 페이지 접속 제어 서버 및 방법
KR101127764B1 (ko) 무선 단말기 및 그의 접속 제어 방법
CN205864753U (zh) 一种终端设备的加密防护系统
KR101757563B1 (ko) 사물인터넷 환경에서의 비밀키 관리 방법 및 장치
CN117692902B (zh) 一种基于嵌入式家庭网关的智能家居的交互方法及系统

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid