KR20160077369A - Ict 정보 유통 시스템 - Google Patents

Abstract

이 발명은 네트워크 가상화 기술로 하나의 물리적 네트워크에서 서버 수만큼 격리된 N개의 폐쇄된 망을 생성하고, 생성된 망 및 서버 별로 접속 제어를 구현하여, 인가되지 않은 단말기 및 사용자는 차단하고, 인가된 단말기 및 사용자에게만 해당 네트워크에 접속을 허용하며, 또한 접속된 단말기 및 사용자는 지정된 경로로만 해당 서버에 접속할 수 있어 경제적이면서 보다 안전하게, 단말기와;, 서버;, 상기 단말기와 서버를 연결하는 네트워크; 및, 상기 네트워크와 격리된 네트워크에 존재하면서, 상기 네트워크에 접속되는 단말기와 서버의 접속을 제어하는 통합 관제 서버;를 구비하고, 상기 네트워크는, 하나의 물리적 네트워크에서 완전 격리된 가상 네트워크를 필요한 수만큼 생성하고, 상기 통합 관제 서버는, 상기 단말기 및 사용자 별로 상기 가상 네트워크에 접속을 제어하여, 인가되지 않은 단말기 및 사용자는 차단하고, 인가된 단말기 및 사용자에게만 해당 네트워크에 접속을 허용하며, 또한 접속된 단말기 및 사용자는 지정된 경로로만 해당 서버에 접속할 수 있게 한 것을 특징으로 하는 ICT 정보 유통 시스템을 제공한다.

Description

ICT 정보 유통 시스템{The ICT system for circulating information}

이 발명은 ICT 정보 유통 시스템에 관한 것으로, 보다 상세하게는 기존 IP 네트워크의 효율성은 살리면서 IP 네트워크의 문제점을 근원적으로 해결하여 보다 안전한 ICT 정보 유통 시스템에 관한 것이다.

소셜 네트워크, 플랫폼, 모바일 콘텐츠, 스마트 폰, 태블릿 PC용 앱, 클라우드, 전사적 모바일 프로그램, e-러닝, 원격수업 등과 같은 ICT(Information Communication Technology) 인프라가 인터넷을 중심으로 급속히 확산되고 있다.

일반적으로 하나의 열린 공간 안에서 정보를 유통하는 개방형 구조인 IP 네트워크는 경제적이고 편리하지만, 프라이버시 및 보안에는 원천적인 취약성이 있다.

즉, PC, 스마트 폰과 같은 각종 단말기와 사용자에 대한 네트워크 및 서버 접속 제어 기능이 라우터에 없어서 해커의 네트워크 침입이 용이하게 된다.

또한 인터넷은 하나의 열린 공간이므로 침입이 이루어지면서 서버의 모든 정보가 유출될 수 있고, 인터넷과 연결될 경우 한 대의 단말기가 오염되면 네트워크에 연결된 나머지 단말기 모두가 오염된다.

그리고 인터넷과 분리된 업무망도 내부자에 의한 개인정보의 대량 유출과 같은 비정상적 행위 발생 시 실시간으로 탐지하여 제어할 수 있는 기능이 없다.

이로부터 종래 인터넷의 개방성을 유지하면서 공격을 기반으로 보호 대상을 보호하는 방어수단을 강구하 있는데,이러한 사후 대책으로는 정보 자원의 안전성을 담보할 수 없어, 업무망과 인터넷을 물리적으로 분리하는 망 분리 방법으로 해결을 시도하고 있지만, 이는 각각의 전용망을 새로이 만드는 것이어서 비용이 과다하게 소요되며 여전히 내부자에 의한 정보 유출을 방지할 수 없어 보안에 한계를 가져온다.

따라서 보안 사고를 근원적으로 해결하기 위해서는 보호해야 할 네트워크 별로 독립된 폐쇄 공간을 만들어 정보를 유통시키는 네트워크 가상화 기술이 요청되어진다.

상기와 같은 종래 문제점을 해결하기 위해, 이 발명은 네트워크 가상화 기술로 하나의 물리적 네트워크에서 서버 수만큼 격리된 N개의 폐쇄된 망을 생성하고, 생성된 망 및 서버 별로 접속 제어를 구현하여, 인가되지 않은 단말기 및 사용자는 차단하고, 인가된 단말기 및 사용자에게만 해당 네트워크에 접속을 허용하며, 또한 접속된 단말기 및 사용자는 지정된 경로로만 해당 서버에 접속할 수 있어 경제적이면서 보다 안전하게 하는 ICT 정보 유통 시스템의 제공을 그 목적으로 한다.

상기의 목적을 실현하기 위해 이 발명은, 상기의 목적을 실현하기 위해 이 발명은, 단말기와;, 서버;, 상기 단말기와 서버를 연결하는 네트워크; 및, 상기 네트워크와 격리된 네트워크에 존재하면서, 상기 네트워크에 접속되는 단말기와 서버의 접속을 제어하는 통합 관제 서버;를 구비하고, 상기 네트워크는, 하나의 물리적 네트워크에서 완전 격리된 가상 네트워크를 필요한 수만큼 생성하고, 상기 통합 관제 서버는, 상기 단말기 및 사용자 별로 상기 가상 네트워크에 접속을 제어하여, 인가되지 않은 단말기 및 사용자는 차단하고, 인가된 단말기 및 사용자에게만 해당 네트워크에 접속을 허용하며, 또한 접속된 단말기 및 사용자는 지정된 경로로만 해당 서버에 접속할 수 있게 한 것을 특징으로 하는 ICT 정보 유통 시스템을 제공한다.

상기의 구성을 갖는 이 발명의 ICT 정보 유통 시스템에 의하면, 하나의 물리적 네트워크로 구성된 IP 네트워크를 서버의 종류 수만큼 완전 격리된 가상의 네트워크로 분리하고, 독립된 별도의 관제망에 의해 단말기 및 사용자 인증을 통한 접속 제어뿐만 아니라 암호화를 위한 키 교환도 수행함으로써, 인가된 단말기 및 사용자 이외에는 접속이 불가하며, 비정상적인 행위 발생 시에 즉시 감지하여 차단하게 하여 안전성을 보다 높였으며, 기존 네트워크와 병행 설치 및 운용할 수 있어 기존 IP 네트워크를 활용하여 추가적인 장비의 도입 없이 효율적이고 경제적으로 망 자원 관리 및 품질을 보장할 수 있는 효과가 있게 된다.

즉, 통합 관제 및 관제망의 완전한 격리 실현 차원에서, 가상 사설망(VPN : Virtual Private Network) 기술로 하나의 물리적인 네트워크를 완전히 분리된 N개의 네트워크를 격리된 통합 관제망을 통하여 해킹을 원천적으로 차단하여, 보호되지 않는 네트워크를 경유하는 종래 네트워크의 근원적 약점을 해결하면서, 사용자 및 단말기 별로 네트워크의 접속을 제어하여 가상 네트워크 기술을 활용한 단말기의 정보자원 접근 경로를 한정하여 정보보호 기반을 확보하였으며, 서버뿐만 아니라 네트워크를 구성하는 모든 노드, 장비, 시스템의 주소를 은닉하여 비인가 사용자 및 단말기로부터 정보자원의 접근을 근원적으로 차단하며, 사용자, 단말기, 서비스에 따라 단말기가 직접 해당 서버까지 연결된 듯한 가상 네트워크를 제공하여 단말기, IoT 기기에 특화된 서비스 제공이 가능하게 된다.

또한 비용절감 및 기존 투자보호 차원에서, 가상 네트워크를 필요한 만큼 만들 수 있어 구축비용이 추가로 들지 않고 운용비용도 대폭 절감되고, 기존 설치된 네트워크에 병행 설치하는 오버레이 구조로 기존 투자 보호가 가능하며, 해당 네트워크에 할당된 자원을 사용하지 않을 경우 다른 네트워크에서 활용이 가능하여 회선 이용 효율이 향상되고, 통합 인증 체계를 기반으로 보안등급, QoS, 서비스 대상을 인지하여 가상 네트워크를 동적으로 구성하고 생태계 전체를 제어하고 네트워크 자원의 분할 사용을 통해 경제성을 확보한다.

그리고 내부자의 비정상적 행위로 인한 정보의 대량 유출에 대해 게이트웨이가 대응하게 함으로써, 내부자의 비정상 행위를 차단하는 효과가 있게 된다.

도 1은 이 발명의 실시 예에 따른 ICT 정보 유통 시스템의 개념을 개략적으로 나타낸 것이고,
도 2는 이 발명의 실시 예에 따른 ICT 정보 유통 시스템의 구성을 전체적으로 나타낸 것이고,
도 3a 내지 도 3c는 이 발명의 실시 예에 따른 ICT 정보 유통 시스템의 작동 과정을 나타낸 것이다.

이하에서는, 이 발명의 바람직한 실시 예를 첨부하는 도면들을 참조하여 상세하게 설명하는데, 이는 이 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세하게 설명하기 위한 것이지, 이로 인해 이 발명의 기술적인 사상 및 범주가 한정되는 것을 의미하지는 않는다.

도 1은 이 발명의 실시 예에 따른 ICT 정보 유통 시스템의 개념을 개략적으로 나타낸 것이고, 도 2는 이 발명의 실시 예에 따른 ICT 정보 유통 시스템의 구성을 전체적으로 나타낸 것이고, 도 3a 내지 도 3c는 이 발명의 실시 예에 따른 ICT 정보 유통 시스템의 작동 과정을 나타낸 것이다.

이 발명의 실시 예에 따른 ICT 정보 유통 시스템은, 인증 및 허가된 단말기 및 사용자에 한해 네트워크 접근을 허용하고, 조직 단위별, 서비스 단위별로 전용 보안 터널을 제공하여 간섭 없는 통신을 보장하며, 영역별로 단말기 부분, 네트워크 부분, 통합 관제 시스템 부분의 3가지로 나누며, 도 1에 나타낸 바와 같이, ① 인증 요청, ② 승인 및 권한 부여, ③ 승인정보 하달, ④ 승인에 따른 접속, ⑤ 지정된 망으로 안내하게 작동한다.

그리고 단말기 부분은, 네트워크의 신뢰성과 정보보증을 극대화하기 위하여 PC, 노트북 및 스마트 디바이스에 커널 기반으로 각 기능에 해당하는 에이전트(Agent)를 탑재한다.

여기서 에이전트는, 단말기와 IP 네트워크 게이트웨이 간 양방향 Any-to-Any 터널을 생성, 관리, 종료하기 위해 단말기에 설치되는 솔루션이다.

또한 네트워크 부분은, 액서스 포인트(무선 LAN)의 가상 공유 접속망과 IP 액서스 게이트웨이의 논리적인 망분리 기술로 구성된다. 즉, 단말기 및 사용자에서 IP 서비스 게이트웨이 간의 터널, 액서스 포인트와 액서스 게이트웨이 간의 터널이 구성되어 가상 라우팅 도메인과 연계되는 영역이다. 모든 터널의 구성단계와 이용단계가 완전히 분리된 라우팅 도메인으로 수용되는 격리 기술이 적용되는 구간이다.

그리고 통합 관제 시스템 부분의 IP 네트워크 매니저는, End-to-End 서비스 기반으로 서비스 이용 요구에 따라 프로파일을 유지 및 관리하고 터널의 생성, 유지, 종료 기능을 수행하여 가상망과의 연동 내용을 실시간으로 변경 관리하고 제어한다.

이러한 IP 네트워크 매니저는, 네트워크에 접속되는 단말기 및 사용자, 액서스 포인트 등에 대한 인증 및 접속관리 트래픽을 격리된 도메인에서 독립적으로 수행한 후에 네트워크 접속을 허용하고, 주기적으로 단말기의 상태 변화를 점검하여 단말기에서 발생할 수 있는 역기능을 근원적으로 차단한다.

또한 ICT 정보 유통 시스템은 기존 네트워크 및 시스템 구성의 변화 없이 오버레이(Overlay) 네트워크 구축이 가능하다.

이 발명의 실시 예에 따른 ICT 정보 유통 시스템의 영역별 구성 중 하나인 단말기 부분은, PC는 유선 단말기로 분류하고, 노트북은 유선 단말기와 무선 단말기 로 동시 이용할 수 있다. 무선 단말기는 액서스 포인트로 직접 접속되며, PC는 IP 네트워크 게이트웨이로 직접 접속된다. 유선 단말기는 관리제어 트래픽은 액서스 포인트에서 리다이렉트하여 IP 네트워크 매니저로 전달하고, 무선 단말기에 대한 관리제어 트래픽은 IP 네트워크 게이트웨이가 IP 네트워크 매니저로 전달한다.

그리고 무선 단말기의 연동구조는, 액서스 포인트는 무선 단말기와의 상호 연동을 통해 NAC(Network Access Control) 관련 트래픽(인증, 권한, 암호키 교환, 무결성 등) 및 바인딩 업데이트 패킷을 관리 제어 터널로 경유하여 IP 네트워크 매니저로 리디렉션하고, 응답 결과를 수신하여 무선 단말기로 전달하는 기능을 한다. 그리고 단말기와 사용자의 위변조 관리를 위해 단말기 에이전트와 액서스 포인트 내의 단말기 컨트롤러와 상호 연동하여 단말기의 고유 식별자를 확인한다.

IP 네트워크 관리 도메인과의 연동을 통해 터널접속 인증 및 접근제어 정보를 수신 받는다. 에이전트는 IP 네트워크 매니저와 연동하여 터널과 이동성 관리를 한다. 이러한 과정이 정상적으로 완료되면 IP 네트워크 게이트웨이 간 IP 터널을 구성하고, IPSec 게이트웨이 간 IPSec 터널을 구성한다.

또한 유선 단말기의 연동구조는, IP 네트워크 관리 도메인과의 연동을 통해 터널접속 인증 및 접근제어 정보를 수신 받는다. 에이전트는 IP 네트워크 매니저와 연동하여 터널 관리를 한다. 그리고 보안 자세 에이전트는 추출된 유선 단말기의 현재 DNA를 보안 자세 매니저와 연동하여 원본 정보와 비교하여 유선 단말기의 인증을 수행한다.

이러한 과정이 정상적으로 완료되면 IP 네트워크 게이트웨이 간 IP 터널을 구성하고, IPSec 게이트웨이 간 IPSec 터널을 구성한다.

단말기 부분의 처리 흐름에 대해, 단말기 및 사용자 인증, 단말기 및 사용자 위변조 방지 그리고 IP 터널 연결로 구분하면 다음과 같다.

먼저, 단말기 및 사용자 인증은, 안전하고 신뢰성 있는 네트워크를 위해 인증 또는 허가된 단말기 및 사용자만이 접속되도록 에이전트와 IP 네트워크 매니저 간에 인증이 이루어진다. mPAK 프로토콜 기반으로 사용자 인증 요청 시에는 사용자 ID와 패스워드 정보를 전송하고, 단말기 인증 요청 시에는 MAC, IMEI, IMSI, OTP, DNADNA 등의 정보를 전송한다.

무선 단말기의 에이전트는 시큐어 와이파이 AP로 인증 요청 패킷을 전송한다. 액서스 포인트는 무선 단말기의 인증 요청 메시지를 IP 네트워크 매니저로 리디렉션을 한다. 인증 요청을 받은 IP 네트워크 매니저는 AAA 서버와 연동하여 무선 단말기의 인증 요청 메시지를 확인한 뒤, HoA(Home of Address)를 발급하고, 인증 응답을 액서스 포인트에 전송한다. 무선 단말기는 액서스 포인트로부터 HoA를 전송받고 인증이 완료된다.

다음으로 단말기 및 사용자 위변조 방지는, 무선 단말기의 단말기 에이전트와 액서스 포인트의 단말기 컨트롤러가 상호 주기적으로 무선 단말기의 고유 식별자를 확인하여 단말기 및 사용자의 위변조를 방지한다.

다음으로 IP 터널 연결은, 인증된 단말기 및 사용자는 데이터 트래픽을 기관별, 서비스 그룹별로 독립적인 IP 터널로 전송하기 위해 에이전트와 IP 네트워크 매니저와의 제어 신호를 교환하여 단말기와 IP 네트워크 게이트웨이 간 IP 터널을 생성한다.

에이전트는 IP 네트워크 매니저로 단말기 HoA, 단말기 CoA, 단말기 포트, 단말기의 터널 생성 요청 IP 네트워크 매니저 주소를 포함하여 터널 생성 요청 메시지를 보낸다.

터널의 라이프 타임이 경과되었거나 단말기가 해당 터널의 삭제를 요청한 경우에는 데이터의 송수신이 종료된 후, IP 네트워크 게이트웨이에 터널 종료를 요청하여 터널이 종료된다.

이 발명의 실시 예에 따른 ICT 정보 유통 시스템의 영역별 구성 중 하나인 네트워크 부문은, 액서스 포인트와 IP 네트워크 게이트웨이를 구분할 수 있다.

먼저, 액서스 포인트는, 유선 랜이 접속의 편이성과 비용 절감효과로 인하여 액서스 포인트 중심의 무선 랜으로 급격하게 전환되고 있어, 무선 랜 이용 환경은 유선 랜의 보완재 역할에 머물지 않고 점차 발전하여 미래 액세스 네트워크 기술의 주류를 이룰 것으로 예상된다.

이러한 긍정적인 측면이 있음에도 불구하고 무선 랜은 전파기술의 보안 취약성은 물론 유선 랜(공유 미디어) 보안위협을 동시에 갖고 있다.

액서스 포인트는 물리적으로 1대의 액서스 포인트로 다수의 이용자 또는 서비스가 상호간의 간섭 없이 가상적으로 안전하게 공용할 수 있는 기술을 갖춘 장비다. 액서스 포인트는 무선 단말기의 에이전트, IP 네트워크 게이트웨이, IP 네트워크 매니저와 상호 연동하여 이용자에게 정보보증을 보장한다. 이를 통해 이용자에게 스마트 워크 및 모바일 서비스 등에 적합한 이동 가상망(Mobile IP Virtual Network)을 제공하여 인가된 이용자들이 소속기관에 안전하게 접속하도록 제공한다.

액서스 포인트는 국내 무선 LAN 표준을 준수하는 주요 액서스 포인트를 선정하여 액서스 포인트용 에이전트 소프트웨어 모듈을 탑재하여 제작한 다.

액서스 포인트는 완전히 격리된 무선 기반 가상망을 통해 데이터, 음성, 화상까지 원활한 정보 유통이 되며, 필요한 가상망을 서비스별, 용도별로 생성하여 얼마든지 나누어 쓸 수 있다. 게다가 보안 정책에 따라 시간과 장소의 제한 없이 단말기 사용자의 보안 등급 조정을 조정할 수 있다.

액서스 포인트는 공공시설, 도심, 빌딩, 캠퍼스, 산업단지 등에 설치하여 일반 이용자에게 가상적으로 모바일 네트워크를 임대(Multi-Tenant Service)할 수 있도록 제작되어 있다. 관리제어 트래픽을 처리하는 도메인과 이용자 트래픽을 처리하는 도메인을 완전 분리하였고, 소속기관별, 단말기 유형별, 서비스 유형별 등으로 폐쇄적으로 격리된 모바일 네트워크 서비스를 제공한다.

이러한 액서스 포인트의 연동 구조는, 액서스 포인트가 IP 네트워크 게이트웨이와 관리제어 도메인이 상호 연동하여 로그 와이파이 AP 접속여부를 검출한다. 로그 와이파이 AP의 접속방지 기능은 인가된 액서스 포인트만을 대상으로 네트워크 접속을 제공하는 역할을 한다. 액서스 포인트는 관리제어 도메인과 연동하여 로그 단말기의 접속을 차단한다. 또한 액서스 포인트는 IP 네트워크 게이트웨이와 연동하여 DDoS 공격과 Man-in-the-middle 공격을 차단한다.

액서스 포인트의 네트워크 접속제어(NAC)가 정상적으로 완료된 후에는, 액서스 포인트장비와 IP 네트워크 게이트웨이 간에 안전한 네트워크 연동에 필요한 액서스 포인트 터널이 구성된다.

액서스 포인트에서 구성되는 터널 유형은 관리제어 도메인의 분리 기능을 담당하는 관리 제어 터널과 일반 와이파이 망의 분리 기능을 제공하는 사용자 데이터 터널이 생성된다. 액서스 포인트 터널은 IP 터널 트래픽을 암호화/복호화 하는 기능을 수행한다.

단말기 및 사용자 에서 구성된 IP 터널 트래픽의 통과 여부를 결정하기 위한 수단으로 액서스 포인트 터널 별로 화이트 리스트 를 유지하고 활용한다. 화이트 리스트 를 참조하여 정상적인 단말기 및 사용자 에서 수신된 IP 터널 트래픽 만이 액서스 포인트 터널에 접속하여 패킷 전송하도록 허용한다.

액서스 포인트 내부에서는 고급 인증 기능을 작동하여 무선 단말기 및 사용자의 인증관리 트래픽을 관리 제어 터널을 통해 IP 네트워크 매니저 에게 전달되도록 한다.

액서스 포인트 내부의 단말기 컨트롤러는 접속 인가된 모바일 단말기 내부에 있는 단말기 에이전트와 상호 연동하여 단말기 관리를 주관한다. 이러한 과정에서 단말기로부터 수집된 DNA 데이터를 IP 네트워크 관리 도메인에 있는 원본(터널 생성단계)과 비교하거나 이전 정보(터널 유지단계)와 비교하여 모바일 단말기 및 사용자의 위변조 관리 기능을 수행한다.

다음으로 IP 네트워크 게이트웨이는, 기존 IP 네트워크 환경이 가지고 있는 보안 취약점을 근본적으로 방지하고자 네트워크 가상화, 터널링, 플로우 기반 QoS, 어드밴스드 NAC 기술 등이 집약된다.

IP 네트워크 게이트웨이는, ICT 정보 유통 시스템에서 터널을 가상 라우터인 VR(Virtual Router)과 연계하여 업무 및 서비스 별로 격리된 서버로 전송하는 역할을 수행한다.

이를 위해 단말기, 액서스 포인트와 IPin-IP 방식의 계층적인 터널을 형성하여 트래픽을 송수신 한다. 그리고 IP 네트워크 게이트웨이 는 IP 네트워크 관리 도메인과의 유기적인 연계를 통해 다이나믹한 터널 및 VR 관리제어가 가능하다.

IP 네트워크 게이트웨이의 주요기능은, 터널을 구성하고 종료하는 터널링(Tunneling) 기능과 VR, 그리고 터널과 VR에 대한 QoS를 제공하기 위한 플로우 기반으로 QoS로 구성된다.

IP 네트워크 게이트웨이는 ICT 정보 유통 시스템에서 관리되는 모든 터널의 암호화/복호화를 담당한다. ICT 정보 유통 시스템은 IP 네트워크 게이트웨이와 액서스 포인트 간에 액서스 포인트 터널, IP 네트워크 게이트웨이와 단말기 간에 IP 터널, IP 액서스 게이트웨이와 IP 서비스 게이트웨이 간에 GRE 터널을 제공한다.

IP 네트워크 게이트웨이는 네트워크 가상화를 통한 독립적인 네트워크 환경을 VR(Virtual Router)로 제공한다. VR은 사용자의 요구에 의해 그 속성이 업무/서비스/기관 등으로 정의되어 속성별로 정의된 사용자만이 해당 VR에 접근 가능하다. IP 네트워크 게이트웨이에서는 터널과 VR을 연계하여 폐쇄형 고신뢰 가상화 네트워크 환경을 사용자에게 제공한다.

IP 네트워크 게이트웨이는 단일구성과 계층적 구성이 가능하며 계층적 구성시 IP 액서스 게이트웨이와 IP 서비스 게이트웨이로 구분된다. 단일 IP 네트워크 게이트웨이 구성은 IP 액서스/서비스 게이트웨이 구분 없이 IP 네트워크 게이트웨이가 하나로 구성되어 단말기에서 터널된 트래픽이 IP 네트워크 게이트웨이의 VR로 수신되어 서버로 보내지게 된다.

계층적 IP 네트워크 게이트웨이 구성은 두개 이상의 IP 네트워크 게이트웨이가 존재하는 구성으로 IP 액서스 게이트웨이에서는 IP 터널을 GRE 터널 IP Service 게이트웨이로 전송하여 복호화가 수행되어 서버로 보내진다. IP 액서스 게이트웨이와 IP 서비스 게이트웨이는 사용하는 구성 위치에 따른 구분을 위한 명칭을 달리할 뿐, 장비상의 차이는 존재하지 않는다.

그리고 IP 네트워크 게이트웨이는 단말기, 액서스 포인트, IP 네트워크 관리 도메인과 상호 연동한다.

단말기는 IP 네트워크 게이트웨이와 IP 터널을 생성한다. IP 네트워크 게이트웨이는 무선 단말기의 경우 NAC(Network Access Control) 정보를 수신받아 IP 네트워크 매니저로 전송하는 역할을 수행한다. 유선 단말기 의 경우, 액서스 포인트를 거치지 않기 때문에 NAC 정보를 IP 네트워크 게이트웨이로 직접 전송한다. 또한 IP 네트워크 게이트웨이는 RAC(Resource Admission Control)에 따라 플로우 기반 QoS를 보장한다.

액서스 포인트는 IP 네트워크 게이트웨이와 액서스 포인트 터널(관리 제어 터널/사용자 데이터 터널)을 생성한다. IP 네트워크 게이트웨이와 생성되는 액서스 포인트 터널은 관리 제어 터널과 사용자 데이터 터널로 구분된다. 그리고 무선 단말기 및 액서스 포인트의 인증에 대한 정보는 리디렉션에 의해 전송된다.

IP 네트워크 관리 도메인과 IP 네트워크 게이트웨이 간에는 관리VR 을 통해 화이트 리스트 등에 관한 정책을 부여받고 VR과 터널 생성/유지/종료에 관한 정보를 송수신 한다. 또한 IP 네트워크 게이트웨이는 액서스 포인트, 단말기 의 인증 및 터널 유지 정보를 수신하여 IP 네트워크 매니저 로 전송하는 역할을 수행한다.

IP 액서스 게이트웨이는 IP 서비스 게이트웨이 와 GRE 터널을 구성하고 IP/GRE, IP-in-IP 를 통해 VR 간 연동을 수행한다.

ICT 정보 유통 시스템에서 터널의 유형은 IPSec 터널, IP 터널, 액서스 포인트 터널, 전송 터널이 있다. IP 네트워크 게이트웨이는 액서스 포인트와 액서스 포인트 터널을 생성하고 단말기와는 IP 터널을 구성하며, IP 네트워크 게이트웨이 간에는 GRE 터널을 구성한다. 그 외 IPSec 터널은 단말기와 IPSec 게이트웨이 간에 터널을 구성하며 IP 네트워크 게이트웨이는 IPSec 터널 구성에 관여하지 않는다.

IP 네트워크 게이트웨이는 관리 제어 터널과 사용자 데이터 터널을 분리하여 사용한다.

관리 제어 터널은 액서스 포인트와 IP 네트워크 게이트웨이 간에 생성되어 무선 단말기가 전송하는 관리제어 트래픽을 관리 제어 터널로 전송 한다. 관리 제어 터널로 전송되는 트래픽은 터널의 생성, 유지 등 터널 관리 정보와 사용자 인증, 사용권한, 접속 파라미터 등이며 관리 제어를 통해 IP 네트워크 게이트웨이로 들어온 트래픽은 관리 VR을 통해 IP 네트워크 매니저로 전송된다.

ICT 정보 유통 시스템은 Windows, Linux, Android 등의 개방형 OS를 탑재한 단말기의 사용, 공유형 접속 미디어(Broadcast-Multicast Domain), 비연결형 네트워크 (Connection-less Network) 등으로 인해 발생되는 보안상 취약점과 다양한 보안 위협들을 해결하고자, 폐쇄된 형태의 보안성/신뢰성이 강화된 환경을 말하며, 이러한 시스템을 체계적이고 효율적인 형태로 관리 및 제어가 가능하도록 최적의 관리 도메인이 필요하다.

IP 네트워크 관리 도메인은 ICT 정보 유통 시스템의 핵심 구성요소이며, 기본적으로 터널링 기반 네트워크 가상화 기능을 총괄적으로 관리, 제어하는 역할을 수행하는 시스템이다. 그리고 이용 요구에 맞는 서비스 프로파일을 유지/관리하고 터널의 생성/유지/종료 기능을 수행하여 서비스 접속 요구를 관리제어할 수 있고 네트워크 정책에 따라 소요 자원의 할당을 실시한다.

이에 따라 보안 매니저를 통하여 이용자 단말기로 발생할 수 있는 역기능을 근원적으로 차단하는 정보보증 기능을 수행한다. 액서스 포인트 매니저는 AP 컨트롤러 기능을 수행하고, 단말기 매니저로 이용 환경의 신뢰성을 보증한다.

IP 네트워크 관리 도메인은 IP 네트워크 서비스 매니저와 서비스 서브 시스템 등으로 크게 2 가지 영역으로 구분하여 구성된다.

IP 네트워크 매니저는 관리 도메인의 핵심 요소로서 터널 제어, 인증 및 접근제어, 단말기의 DNA 관리, 이동성 등 다양한 기능들을 관리제어 역할을 제공하는 장비로서 관리 도메인 내에서 가장 중요한 장비이다. 그리고 IP 네트워크 서브 시스템은 ICT 정보 유통 시스템의 효율적이고 안정적인 관리 및 제어를 위해 부가적으로 필요한 서버들로 구성되어 있다.

IP 네트워크 관리 도메인의 단말기(무선 단말기, 유선 단말기), 액서스 포인트, IP 네트워크 게이트웨이 등에 대한 주요 관리 및 제어의 범위는 단말기 및 사용자/액서스 포인트 인증 등 서비스 이용을 위한 접속인증 제어, 단말기의 위/변조 체크를 통한 무결성 관리, 화이트 리스트 관리를 통한 접근 제어, 데이터 패킷의 암호 키 관리, 효율적인 라우팅 도메인 운영, 주기적인 단말기 및 네트워크의 상태 정보 관리 등이 있다.

또한, 시스템 운영자의 운용관리를 돕기 위해 IP 네트워크 관리 도메인을 위한 CLI 를 제공하고 운영자는 이를 이용하여 상태 조회 및 제어 등을 효율적으로 관리할 수 있다. 이러한 운용관리 환경은 GUI 형태로 제공되어 이용자의 편의성도 함께 제공이 가능하다.

IP 네트워크 관리 도메인 내 구성요소들의 접속 형태를 살펴보면, IP 네트워크 서비스 매니저는 2가지 형태로 IP 네트워크 게이트웨이와 접속하는 구조를 가지고 있는데, 하나는 IP 네트워크 게이트웨이와 직접 연결되는 구조이고, 다른 하나는 랜 인터페이스를 통한 IP 네트워크 게이트웨이 내 관리 VR과 접속하는 구조로 랜 인터페이스를 통해 IP 네트워크 서브 시스템들과도 연결되는 형태를 가진다.

IP 네트워크 관리 도메인은 단말기 내부에 있는 에이전트와의 연동을 통해 단말기 및 사용자 접속인증 제어, 화이트 리스트 기반 접근제어 기능 등을 수행한다. 단말기 내부의 보안 자세 에이전트를 통해 추출된 단말기 의 현재 DNA를 전달받아 원본(터널 생성 전 단계)과 비교하거나 이전 정보(터널 유지단계)와 비교하여 단말기의 위변조 관리기능을 수행한다. 이러한 단말기와의 연동이 무선 단말기인 경우에는 액서스 포인트와 IP 네트워크 게이트웨이 사이에 생성된 별도의 관리 제어 터널을 통해 이루어지게 된다.

액서스 포인트와 연동하는 IP 네트워크 관리 도메인은 액서스 포인트에 대한 접속인증 및 화이트 리스트 기반의 접근제어를 제공한다. 이러한 과정이 정상적으로 수행되면 관리 제어 터널과 사용자 데이터 터널이 AP와 IP 네트워크 게이트웨이 사이에서 생성된다. 그리고 로그 와이파이 AP 방지를 위해 와이파이 AP 접속 인가 여부를 확인하는 절차를 수행한다.

IP 네트워크 관리 도메인은 IP 네트워크 게이트웨이와 IPSec 게이트웨이와도 연동 기능을 제공하고 있으며, 먼저 IP 네트워크 게이트웨이와는 단말기부터 생성되는 IP 터널에 대한 생성/유지/종료 기능과 IP 네트워크 게이트웨이 그리고 IPSec 게이트웨이는 단말기 매니저와의 연동을 통해 단말기가 보유한 인증서의 검증 기능을 수행하게 된다.

IP 네트워크 관리 도메인 내부의 IP 네트워크 서비스 매니저에서는 접속인증 기능을 담당하고 있는데, 크게 단말기 및 사용자 인증과 액서스 포인트 인증으로 구분하여 정의할 수 있으며, 단말기 및 사용자 인증은 스마트 폰, 노트북 등과 같은 무선 단말기와 PC와 같은 유선 단말기로 구분되어 서로 상이한 인증 방식으로 구동이 된다.

액서스 포인트의 접속인증 요청 시에는 액서스 포인트에서 요청하는 인증 패킷을 IP 네트워크 게이트웨이로 전달되고 IP 네트워크 게이트웨이 에서 리디렉션되어 IP 네트워크 서비스 매니저에서 수신하게 되며, IP 네트워크 서비스 매니저는 접속인증 제어를 수행한다. 이후, 액서스 포인트와 IP 네트워크 게이트웨이 사이에 관리 제어 터널 및 사용자 데이터 터널이 생성된다.

또한, 액서스 포인트의 접속인증을 위해 앞서 언급한 분산 구조 형태로서 IP 네트워크 서비스 매니저의 AP 인증 기능과 액서스 포인트 터널 제어 기능을 별도로 분리하여 와이파이용 IP 네트워크 매니저를 통해 액서스 포인트의 인증을 수행할 수도 있다.

ICT 정보 유통 시스템 의 인증 요청후 터널 생성이 완료되면 모바일 단말 관리를 위한 인증 절차가 수행된다.

무선 단말기의 단말 관리를 위한 접속 인증은 단말기 에이전트가 액서스 포인트의 단말기 컨트롤러에 무선 단말기의 MAC 어드레스 그리고 사용자 ID 등의 단말 인증을 위한 정보를 전송하여 단말 관리 인증이 수행된다. 단말기 컨트롤러는 단말기 에이전트로부터 전송받은 인증 요청 정보를 IP 네트워크 관리 도메인의 단말기 매니저로 전송한다. 단말기 매니저는 등록된 단말 관리 정보와 단말기 컨트롤러로부터 전송받은 인증 요청 정보와 비교하여 인증 확인을 한다. 인증이 성공적으로 완료되면 단말기 매니저는 단말기 컨트롤러로 성공 응답 메시지를 전송한다.

그리고 단말기 컨트롤러는 단말기 매니저로부터 전송 받은 인증 성공 응답메시지를 확인하여 성공일 경우 해당 무선 단말기의 인증 성공 정보를 단말기 컨트롤러의 전송 테이블에 등록한다. 단말기 에이전트에게 최종 전송하여 무선 단말기 접속 인증 요청 처리를 완료한다. 이후 에이전트 의 단말기 및 사용자 의 접속 인증 처리과정이 수행된다.

무선 단말기 및 사용자 의 접속인증 요청 시에는 액서스 포인트와 IP 네트워크 게이트웨이 사이에 생성된 관리 제어 터널을 통해 암호화된 형태의 인증 패킷 이 IP 네트워크 매니저에서 수신하여 접속인증을 수행한다.

유선 단말기 및 사용자의 접속인증 요청 시에는 mPAK 프로콜로된 인증 패킷이 IP 서비스 게이트웨이로 전달되고 IP 서비스 게이트웨이에서 리디렉션되어 IP 서비스 매니저에서 수신하게 되며, IP 서비스 매니저에서는 mPAK 인증 패킷을 통해 접속인증을 수행한다.

이 발명의 실시 예에 따른 ICT 정보 유통 시스템에서 제공하는 서비스로는, 터널 서비스, 도메인 서비스 그리고 NAC 서비스가 있다.

먼저, 터널 서비스에서는 터널이 이동성과 품질보장 기능을 동시에 갖춘 IP-in-IP 터널링 기술을 근간으로 동종 터널을 집선하거나 이기종 터널 간을 연동하여 계층적으로 구성할 수 있는 Tunnel-in-Tunnel 기술이다.

터널의 유형으로는 단말기 및 사용자 단위별로 부여되는 "IP 터널", 액서스 포인트와 IP 액서스 게이트웨이 간에 구성되는 "액서스 포인트 터널", IP 액서스 게이트웨이와 IP 서비스 게이트웨이 간에 구성되는 IP 라우팅 기반의 "전달 터널"이 있다.

터널은 단말기 사용자에게 스마트워크 및 모바일 서비스 등에 적합한 이동성을 지원하는 가상망을 제공하고, 액서스 포인트를 가상화하여 인가된 이용자들에게 소속기관의 안전한 접속을 보장한다.

다음으로 도메인 서비스에서는, ICT 정보 유통 시스템이 기존 인터넷 기술이 고도화 되어야 할 항목으로 데이터 도메인과 관리 도메인을 VR 기반으로 분리한다.

분리된 관리 도메인으로는 관리와 제어 데이터의 안전한 통신경로를 제공하여 시스템의 독립적인 관리 제어를 보장하고, 사용자 데이터 경로를 통한 해킹 등 불법적인 시스템의 제어를 원천적으로 차단한다. 분리된 데이터 도메인 내에서 보안 수준의 향상이 필요할 경우에 IP Sec 터널을 추가 구성할 수 있도록 제공한다.

도메인과 경로가 분리될 경우에 네트워크 리소스가 동시에 분리 할당되고 이와 함께 이동성 서비스의 연속성을 보장하도록 한다. 이를 통해 지연과 손실을 최소화하고 서비스의 신뢰성을 향상하도록 한다.

다음으로 NAC 서비스에서는, 비인가된 단말기에 의해 정보 접근 또는 변경이 가능하다는 네트워크 보안 취약성을 강화하고자 미리 정의된 시스템 보안 정책에 따라 접근제어를 수행하여 네트워크 자원이용을 제한하고자 NAC(Network Access Control)을 사용한다. 이러한 기존 NAC의 목적을 수용하고 보다 강화된 형태의 인증 제어, 단말의 위변조 방지, 네트워크 접근제어, 시스템 보안 등의 서비스 제공이 가능한 형태의 NAC 서비스를 제공한다.

이 발명의 실시 예에 따른 ICT 정보 유통 시스템의 응용 분야에는 망 분리 서비스, 스마트 워크 서비스, 멀티 테넌트 서비스가 있다.

먼저, 망 분리 서비스는, ICT 정보 유통 시스템이 전체 IT 자원의 논리적 망 분리 방안을 제공하는 기술이고, 물리적인 망 분리 모델의 단점인 업무 효율성 저하(2대의 PC 이용), 네트워크 도입비용 및 회선 임대비용 증가 등을 개선하고, 정보보증 수준향상 및 통신품질 보장을 제공하는 망 분리 서비스로 IoT/IoE 환경에서도 적용할 수 있다.

액서스 포인트 이용 환경에서도 논리적 망분리 기능을 제공하여 스마트워크 서비스 환경을 제공한다. 이를 통해 사용자들이 업무와 인터넷을 하나의 단말기에서 수행할 수 있고 기존 망의 물리적인 변경 없이도 필요한 유무선 가상망을 구성할 수 있다.

논리적 망분리 서비스 제공하는 핵심 기술로는, 터널, 가상 라우팅, 플로우 라우팅, 어드밴스드 NAC 등이 있다. IP 플로우 단위, 터널 단위, 라우팅 단위 등으로 가상 그룹을 세분화할 수 있다. 또한 이들 단위간 상호 연동방안을 제공하여 다양한 이용자 및 서비스 그룹을 폐쇄적으로 신뢰성 있게 구성할 수 있다.

다음으로 스마트 워크 서비스는, ICT 정보 유통 시스템이 하나의 물리적인 망을 다수의 완전히 격리된 가상망으로 구분하여 허가된 단말기 및 이용자에게 언제 어디서나 유선망과 같은 안전한 망 접근 및 서비스 이용을 보장하고, IoT/IoE 등의 사물통신망과 클라우드 컴퓨팅 서비스의 요구사항을 반영하여 개발되어 있어 다양한 유형의 응용 서비스 제공이 용이하다.

모바일/비디오/클라우드 어플리케이션을 새로운 비즈니스 환경에 효과적으로 접목하고 싶은 이용자에게 신뢰성 높은 접속 서비스를 제공한다. 새로운 어플리케이션 요구를 충족시키고 새로운 사업모델로의 전환이 용이한 네트워크 서비스가 필요한 이용자에게 가상적으로 실시간 네트워크 구성 방안을 제공한다. 유ㅇ무선 인프라를 이용하여 컴퓨터나 저장매체 및 네트워크 등을 실시간 가상으로 생성, 운영 및 관리 제어되는 서비스를 제공한다.

다음으로 멀티 테넌트 서비스는, ICT 정보 유통 시스템이 물리적으로 1개의 인프라를 가상적으로 다수의 이용자 및 그룹이 안전하고 신뢰성 높게 공동 활용할 수 있는 기술이고, 빌딩, 캠퍼스, 산업단지, U-City, 공공 및 국가기관 등에 구축된 1개의 물리망으로, 입주기관별, 이용자 그룹별, 서비스 유형별 요구 조건에 부합된 가상망을 제공한다.

다양한 장비를 직접 구매하여 구축, 운영, 유지 보수하는 기존의 인프라 활용방식은 직접 투자비용이 높다. 또한 용량 증대 및 성능 향상으로 위한 운영 유지에 많은 비용을 지불하고 있다. 망 사업자가 ICT 정보 유통 시스템을 구비하여 입주기관에게 임대(Multi Tenant 서비스)할 수 있도록 구현된 시스템이다.

이 발명은 상기의 실시 예에 한정되지 않으며, 특허청구범위에 기재되는 발명의 범위 내에서 다양한 변형이 가능하고, 이러한 변형도 이 발명의 범위 내에 포함된다.

100 : 이 발명의 실시 예에 따른 ICT 정보 유통 시스템

Claims (1)

1. 단말기와;
   서버;
   상기 단말기와 서버를 연결하는 네트워크; 및,
   상기 네트워크와 격리된 네트워크에 존재하면서, 상기 네트워크에 접속되는 단말기와 서버의 접속을 제어하는 통합 관제 서버;를 구비하고,
   상기 네트워크는, 하나의 물리적 네트워크에서 완전 격리된 가상 네트워크를 필요한 수만큼 생성하고,
   상기 통합 관제 서버는, 상기 단말기 및 사용자 별로 상기 가상 네트워크에 접속을 제어하여, 인가되지 않은 단말기 및 사용자는 차단하고, 인가된 단말기 및 사용자에게만 해당 네트워크에 접속을 허용하며, 또한 접속된 단말기 및 사용자는 지정된 경로로만 해당 서버에 접속할 수 있게 한 것을 특징으로 하는 ICT 정보 유통 시스템.

Images