KR20160122992A - 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 - Google Patents

정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 Download PDF

Info

Publication number
KR20160122992A
KR20160122992A KR1020150052941A KR20150052941A KR20160122992A KR 20160122992 A KR20160122992 A KR 20160122992A KR 1020150052941 A KR1020150052941 A KR 1020150052941A KR 20150052941 A KR20150052941 A KR 20150052941A KR 20160122992 A KR20160122992 A KR 20160122992A
Authority
KR
South Korea
Prior art keywords
information
tunnel
service
profile
tcs
Prior art date
Application number
KR1020150052941A
Other languages
English (en)
Inventor
윤호선
박평구
류호용
신영수
홍성백
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150052941A priority Critical patent/KR20160122992A/ko
Priority to US15/044,489 priority patent/US20160308904A1/en
Publication of KR20160122992A publication Critical patent/KR20160122992A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/084Configuration by using pre-existing information, e.g. using templates or copying from other elements
    • H04L41/0843Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 다양한 형태의 사이버 공격에 대해서 방어 및 대응할 뿐만 아니라 원천적으로 사이버 공격을 무효화하기 위하여, 보안이나 QoS(Quality of Service)에 따른 다양한 정책에 따라 사설 네트워크 간에 연결성 및 실시간 연결성을 제공하며, 이러한 연결성 제공을 위해서 필요한 정보를 관리하고, 관리되는 정보를 이용해서 연결성을 제어하는, 네트워크 통합 관리 방법 및 장치에 관한 것이다.

Description

정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치{Integrative Network Management Method and Apparatus for Supplying Connection between Networks Based on Policy}
본 발명은 네트워크 통합 관리 방법 및 장치에 관한 것으로서, 특히, 공개된 전달망을 이용하면서 보안이나 QoS(Quality of Service) 정책에 따라 사설 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치에 관한 것이다.
일반적으로 가입자 액세스 네트워크와 서비스 서버 팜(farm) 혹은 사설 네트워크는, 코어 네트워크를 통해서 연결된다. 즉, 코어 네트워크는 가입자 액세스 네트워크와 서버 팜 혹은 사설 네트워크에 대한 라우팅 정보를 습득한 상태에서 패킷들을 목적지로 전달한다. 이러한 경우 공격자들은 공개된 네트워크 주소를 이용해서 DDoS를 비롯한 다양한 형태의 공격을 진행할 수 있다. 또한, 자유롭게 개별 네트워크가 구성됨으로써 이상 트래픽에 대한 방어나 서버에서 정보를 유출하는 트래픽에 대한 검출 등이 불가능한 문제가 있다. 이러한 문제를 해결하기 위해서 망을 체계적으로 설계하고 미리 설계된 형태로 망을 구성하며, 구성된 망을 전체적으로 통합해서 관리하는 접근 방법이 필요하다.
현재 사설 네트워크 간에 연결을 위해서 가장 널리 사용되는 방법은 NAT(Network Address Translation)를 이용하거나 IPSec(Internet Protocol Security) 또는 TLS(Transport Layer Security) 등과 같은 보안 방식을 이용해서 VPN(Virtual Private Network)을 설정하는 것이다. 이러한 방식은 로컬 네트워크 별로 주소를 비롯한 자원을 관리함으로써, 공격이 발견된 후에도 추적이 어려우며, 또한 VPN 서버 주소가 공개됨으로써 VPN 서버 공격에 대한 대응이 필요하다.
따라서, 본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은, 다양한 형태의 사이버 공격에 대해서 방어 및 대응할 뿐만 아니라 원천적으로 사이버 공격을 무효화하기 위하여, 보안이나 QoS(Quality of Service)에 따른 다양한 정책에 따라 사설 네트워크 간에 연결성 및 실시간 연결성을 제공하며, 이러한 연결성 제공을 위해서 필요한 정보를 관리하고, 관리되는 정보를 이용해서 연결성을 제어하는, 네트워크 통합 관리 방법 및 장치를 제공하는 데 있다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재들로부터 당업자에게 명확하게 이해될 수 있을 것이다.
먼저, 본 발명의 특징을 요약하면, 상기의 목적을 달성하기 위한 본 발명의 일면에 따른 매니지드 네트워크 시스템에서의 네트워크 통합 관리 방법은, 사용자 단말들에 대한 사용자 관리 정보, 관리되는 장치들에 대한 구성 관리 정보, 프로파일들에 대한 프로파일 관리 정보, 및 터널 설정에 대한 설정 관리 정보를 데이터베이스에 유지하는 단계; 사용자 단말의 요청에 따라 상기 데이터베이스를 참조해 인증을 완료한 후 서비스 프로파일들에 기초한 서비스 리스트를 상기 사용자 단말로 제공하는 단계; 상기 서비스 리스트의 각 서비스에 대하여, 상기 데이터베이스를 참조해 해당 서비스가 은닉 IP 주소를 사용하는 서비스인지 여부를 판단하는 단계; 및 상기 은닉 IP 주소를 사용하는 서비스에 대하여, 실시간으로 상기 데이터베이스에서 해당 터널을 검색하거나 생성하여, 상기 데이터베이스에 상기 해당 터널에 대하여 TCS(Tunnel Control System)에 설정에 따른 터널 사용정보를 업데이트하는 단계를 포함한다.
상기 네트워크 통합 관리 방법은, 상기 매니지드 네트워크 시스템에서의 네트워크 통합 관리 장치 측, 서비스 서버 측, 및 상기 사용자 단말 측, 각각의 TCS로 상기 터널 사용정보를 통보하여 TCS들에서의 터널 제어에 따라 상기 은닉 IP 주소를 위한 특정 터널을 이용해 전달망을 통과하여 서로 연동하기 위한 것을 특징으로 한다.
상기 은닉 IP 주소를 사용하는 서비스에서, 상기 TCS들 간 터널을 통한 통신을 위하여, 상기 사용자 단말, 상기 서비스 서버, 상기 사용자 단말에 연결된 액세스 게이트웨이, 및 상기 서비스 서버에 연결된 보안 게이트웨이의, IP 주소는 난수 생성 방식으로 생성된 난수값일 수 있다.
상기 터널 사용 정보는, 상기 프로파일 관리 정보 중 연결 프로파일 정보에서 관리되는, 소스 IP 주소로서의 상기 사용자 단말의 은닉 IP 주소, 목적지 IP 주소로서의 상기 서비스 서버 측 보안 게이트웨이의 은닉 IP 주소, 및 DSCP(differentiated services codepoint) 값을 갖는 트래픽들이, 상기 설정에 따른 특정 터널을 이용하도록 설정하기 위한 정보일 수 있다.
상기 터널 사용정보를 업데이트하는 단계는, (a) 상기 프로파일 관리 정보 중 서비스 프로파일 정보에 기초한 해당 요구된 터널의 소스 TCS와 목적지 TCS에 대한 엔티티가 상기 프로파일 관리 정보 중 터널 프로파일 정보에 존재하는 것으로 검색된 경우, 상기 서비스 프로파일 정보에 포함된 QoS 프로파일 정보, 보안 프로파일 정보, 및 상기 소스 TCS와 목적지 TCS에 대한 상기 터널 프로파일 정보의 엔티티를 포함하는 정보를 포함하는, 상기 설정 관리 정보 중 터널 제어 정보의 엔티티를 검색하는 단계; 및 (b) 검색된 상기 터널 제어 정보의 엔티티의 상태값을 확인하여 상기 TCS에 설정된 상태인지를 검사하는 단계를 포함한다.
상기 터널 사용정보를 업데이트하는 단계는, (c) 상기 요구된 터널의 소스 TCS와 목적지 TCS가 상기 터널 프로파일 정보에 존재하지 않는 경우, 상기 프로파일 관리 정보 중 터널 프로파일 정보에 상기 소스 TCS와 목적지 TCS를 포함하는 엔티티를 생성하는 단계; 및 (d) (a) 단계에서 검색되거나 (c) 단계에서 생성된 상기 소스 TCS와 목적지 TCS에 대한 엔티티를 포함하는 터널 프로파일 정보, 상기 QoS 프로파일 정보, 및 상기 보안 프로파일 정보를 포함하는 상기 터널 제어 정보의 엔티티를 추가하는 단계를 더 포함할 수 있다.
상기 터널 사용정보를 업데이트하는 단계는, (e) 상기 터널 제어 정보의 엔티티를 네트워크 상의 TCS들로 통보하고 그 응답을 받아 상기 터널 제어 정보의 상태값에 반영하는 단계를 더 포함할 수 있다.
(e) 단계 후에, 상기 사용자 단말의 상기 은닉 IP 주소, 서비스 서버 측 보안 게이트웨이의 상기 은닉 IP 주소, 및 상기 서비스 프로파일 정보에 포함된 DSCP 값을 포함하도록, 상기 프로파일 관리 정보 중 연결 프로파일 정보의 엔티티에 추가하는 단계; 및 추가된 상기 터널 제어 정보의 엔티티와 추가된 상기 연결 프로파일 정보의 엔티티를 포함하도록, 상기 설정 관리 정보 중 터널 사용 정보의 엔티티를 추가하는 단계를 더 포함할 수 있다.
그리고, 본 발명의 다른 일면에 따른 매니지드 네트워크 시스템에서의 네트워크 통합 관리 장치는, 사용자 단말들에 대한 사용자 관리 정보, 관리되는 장치들에 대한 구성 관리 정보, 프로파일들에 대한 프로파일 관리 정보, 및 터널 설정에 대한 설정 관리 정보를 저장 관리하는 데이터베이스; 사용자 단말의 요청에 따라 상기 데이터베이스를 참조해 인증을 수행하는 인증서버; 및 상기 인증을 완료한 후 서비스 프로파일들에 기초한 서비스 리스트를 상기 사용자 단말로 제공하고, 상기 서비스 리스트의 각 서비스에 대하여, 상기 데이터베이스를 참조해 해당 서비스가 은닉 IP 주소를 사용하는 서비스인지 여부를 판단하며, 상기 은닉 IP 주소를 사용하는 서비스에 대하여, 실시간으로 상기 데이터베이스에서 해당 터널을 검색하거나 생성하여, 상기 데이터베이스에 상기 해당 터널에 대하여 TCS(Tunnel Control System)에 설정에 따른 터널 사용정보를 업데이트하는 제어 서버를 포함한다.
상기 네트워크 통합 관리 장치는, 상기 매니지드 네트워크 시스템에서의 상기 네트워크 통합 관리 장치 측, 서비스 서버 측, 및 상기 사용자 단말 측, 각각의 TCS로 상기 터널 사용정보를 통보하여 TCS들에서의 터널 제어에 따라 상기 은닉 IP 주소를 위한 특정 터널을 이용해 전달망을 통과하여 서로 연동하기 위한 것을 특징으로 한다.
상기 은닉 IP 주소를 사용하는 서비스에서, 상기 TCS들 간 터널을 통한 통신을 위하여, 상기 사용자 단말, 상기 서비스 서버, 상기 사용자 단말에 연결된 액세스 게이트웨이, 및 상기 서비스 서버에 연결된 보안 게이트웨이의, IP 주소는 난수 생성 방식으로 생성된 난수값일 수 있다.
상기 터널 사용 정보는, 상기 프로파일 관리 정보 중 연결 프로파일 정보에서 관리되는, 소스 IP 주소로서의 상기 사용자 단말의 은닉 IP 주소, 목적지 IP 주소로서의 상기 서비스 서버 측 보안 게이트웨이의 은닉 IP 주소, 및 DSCP(differentiated services codepoint) 값을 갖는 트래픽들이, 상기 설정에 따른 특정 터널을 이용하도록 설정하기 위한 정보일 수 있다.
상기 제어 서버는, 상기 프로파일 관리 정보 중 서비스 프로파일 정보에 기초한 해당 요구된 터널의 소스 TCS와 목적지 TCS에 대한 엔티티가 상기 프로파일 관리 정보 중 터널 프로파일 정보에 존재하는 것으로 검색된 경우, 상기 서비스 프로파일 정보에 포함된 QoS 프로파일 정보, 보안 프로파일 정보, 및 상기 소스 TCS와 목적지 TCS에 대한 상기 터널 프로파일 정보의 엔티티를 포함하는 정보를 포함하는, 상기 설정 관리 정보 중 터널 제어 정보의 엔티티를 검색한 후, 검색된 상기 터널 제어 정보의 엔티티의 상태값을 확인하여 상기 TCS에 설정된 상태인지를 검사할 수 있다.
상기 제어 서버는, 상기 요구된 터널의 소스 TCS와 목적지 TCS가 상기 터널 프로파일 정보에 존재하지 않는 경우, 상기 프로파일 관리 정보 중 터널 프로파일 정보에 상기 소스 TCS와 목적지 TCS를 포함하는 엔티티를 생성하고, 검색되거나 생성된 상기 소스 TCS와 목적지 TCS에 대한 엔티티를 포함하는 터널 프로파일 정보, 상기 QoS 프로파일 정보, 및 상기 보안 프로파일 정보를 포함하는 상기 터널 제어 정보의 엔티티를 추가할 수 있다.
상기 제어 서버는, 상기 터널 제어 정보의 엔티티를 네트워크 상의 TCS들로 통보하고 그 응답을 받아 상기 터널 제어 정보의 상태값에 반영할 수 있다.
상기 제어 서버는, 상기 사용자 단말의 상기 은닉 IP 주소, 서비스 서버 측 보안 게이트웨이의 상기 은닉 IP 주소, 및 상기 서비스 프로파일 정보에 포함된 DSCP 값을 포함하도록, 상기 프로파일 관리 정보 중 연결 프로파일 정보의 엔티티에 추가하고, 추가된 상기 터널 제어 정보의 엔티티와 추가된 상기 연결 프로파일 정보의 엔티티를 포함하도록, 상기 설정 관리 정보 중 터널 사용 정보의 엔티티를 추가할 수 있다.
본 발명에 따른 네트워크 통합 관리 방법 및 장치에 따르면, 정책에 기반을 두는 다양한 프로파일을 정의하고, 특정 사용자와 서비스가 특정 터널을 이용할 수 있도록 구축되는 데이터베이스를 이용하여, 가입자 측 액세스 네트워크, 인증 및 제어 서버 팜, 그리고 서비스를 제공하는 서비스 팜 및 데이터 센터 등을 다양한 터널을 이용해서 연결할 수 있다. 터널은 QoS 및 보안 정책에 따라서 다양한 형태를 가질 수 있으며, 사용자나 서비스의 종류에 따라서 다양한 터널을 사용할 수 있다.
또한, 본 발명에 따른 네트워크 통합 관리 방법 및 장치에 따르면, 은닉 주소와 같이 임의의 IP 주소가 사용되는 경우에 데이터베이스에 구축된 정보를 이용해서 실시간으로 터널을 검색하거나, 검색이 실패하면 새로운 터널을 생성하여 이용할 수 있는 방법을 제공할 수 있다.
또한, 본 발명에 따른 네트워크 통합 관리 방법 및 장치에 따르면, TCS(Tunnel Control System) 사이의 터널을 사용함으로써 기존 전달망을 수정할 필요 없이 이용 가능하다.
그리고, 본 발명에 따른 네트워크 통합 관리 방법 및 장치에 따르면, 로컬 네트워크별로 주소를 비롯한 자원을 관리하고, 보안이나 QoS 정책에 따른 프로파일을 관리하며, 정책을 정의한 프로파일에 따른 터널을 설정하고, 설정된 터널을 사용자 및 서비스별로 관리하여, 연결 가능한 터널이 없는 경우 실시간으로 터널을 검색하고 생성함으로써, 사용자 및 서비스별로 다양한 특성을 갖는 터널을 사용할 수 있도록 할 수 있다. 이러한 방식은 네트워크를 효율적으로 관리하고 활용할 뿐만 아니라 다양한 형태의 사이버 공격에 대응할 수 있다. 즉, 특정 터널을 이용하지 않는 트래픽은 모두 필터링이 가능함으로써 서버로부터의 정보 유출이나 DDoS와 같은 사이버 공격에 대한 안전성이 향상된다. 특히, VPN 서버의 주소가 임의의 주소인 경우에도 사설 네트워크 간에 연결성을 제공하기 때문에 VPN 서버에 대한 공격을 원천적으로 방어할 수 있다.
도 1은 본 발명의 일 실시예에 따른 매니지드 네트워크 시스템에서의 네트워크 통합 관리 장치를 설명하기 위한 도면이다.
도 2는 도 1의 데이터베이스의 구성 요소들을 설명하기 위한 도면이다.
도 3은 도 1의 데이터베이스에 관리되는 사용자 관리 정보를 설명하기 위한 도면이다.
도 4는 도 1의 데이터베이스에 관리되는 구성 관리 정보를 설명하기 위한 도면이다.
도 5는 도 1의 데이터베이스에 관리되는 프로파일 관리 정보를 설명하기 위한 도면이다.
도 6은 도 1의 데이터베이스에 관리되는 설정 관리 정보를 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시예에 따른 네트워크 통합 관리 장치에서 자동 터널 생성 과정을 설명하기 위한 흐름도이다.
도 8은 본 발명의 일 실시예에 따른 매니지드 네트워크 상의 네트워크 통합 관리 장치의 구현 방법의 일례를 설명하기 위한 도면이다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명의 실시예를 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 실시예에 대한 이해를 방해한다고 판단되는 경우에는 그 상세한 설명은 생략한다.
본 발명의 실시예의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 또한, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
도 1은 본 발명의 일 실시예에 따른 매니지드 네트워크 시스템에서의 네트워크 통합 관리 장치(120)를 설명하기 위한 도면이다. 여기서, 매니지드 네트워크란 다양한 형태의 사이버 공격에 대응하기 위해서 네트워크 상의 다양한 구성 장치들과 사용자 및 서비스를 전역적으로 관리하는 네트워크를 의미한다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 네트워크 통합 관리 장치(120)는, 인증을 위한 인증 서버(109), 네트워크를 관리하기 위한 제어 서버(110), 및 인증이나 제어를 위한 다양한 정보를 관리하기 위한 데이터베이스(111)를 포함한다. 네트워크 통합 관리 장치(120), 사용자 단말(UE, User Equipment)(들)(101), 및 서비스를 제공하기 위한 서비스 서버(들)(107)은, 도 1과 같은 매니지드 네트워크 상에서 패킷을 전달하기 위한 전달망(108)을 통해 상호 연동할 수 있다. 네트워크 통합 관리 장치(120)는, TCS(Tunnel Control System)(104)의 전달망(108)을 통과하기 위한 터널 제어에 따라, 전달망(108)을 통해 사용자 단말(들)(101)이나 서비스 서버(들)(107)과 연동할 수 있다.
사용자 단말(들)(101)은 액세스 게이트웨이(AGW, Access Gateway)(102)의 접속 제어와 TCS(103)의 전달망(108)을 통과하기 위한 터널 제어에 따라, 전달망(108)을 통해 네트워크 통합 관리 장치(120)나 서비스 서버(107)와 연동할 수 있다. 액세스 게이트웨이(102)는 사용자 단말(들)(101)의 IP 주소 풀(pool)을 관리하여 사용자 단말들(101)의 접속을 제어한다. 본 발명에서 언급되는 사용자 단말(101)은, 예를 들어, 스마트폰, 노트북PC, 테블릿 PC 등 이동 단말일 수 있으며, 경우에 따라 PDA(Personal Digital Assistant), PMP(Portable Multimedia Player) 등일 수도 있고, 이외에 이동통신(예, CDMA, WCDMA, LTE 등)이나 인터넷 통신(예, WiBro, WiFi 등)이 지원될 수 있는 모는 전자장치를 포함할 수 있다.
서비스 서버(들)(107)은 보안 게이트웨이(SGW, Security Gateway)(106)의 보안 접속 제어와 TCS(105)의 전달망(108)을 통과하기 위한 터널 제어에 따라, 전달망(108)을 통해 네트워크 통합 관리 장치(120)나 사용자 단말(들)(101)과 연동할 수 있다. 보안 게이트웨이(SGW)(106)는 IPSec(Internet Protocol Security) 또는 TLS(Transport Layer Security) 등과 같은 보안 방식을 이용해서 접속을 제어할 수 있다. 서비스 서버(들)(107)은 네트워크 상에서 이동통신서비스, 디지털멀티미디어 서비스, 인터넷 서비스 등 다양한 형태로 서비스를 제공하는 서버로서, 하나의 서버일 수도 있고, 서비스 서버 팜이나 데이터 센터 형태일 수도 있다.
이와 같이 사용자 단말(들)(101), 서비스 서버(들)(107), 및 네트워크 통합 관리 장치(120) 각각에 대하여 전달망(108)을 통과하기 위한 터널 제어를 수행하는 TCS들(103/104/105)은, IP-in-IP, GRE(Generic Routing Encapsulation), IPSec 등 다양한 종류의 터널을 사용하여, 패킷이 전달망(108)을 통과하도록 제어한다. 패킷이 전달망(108)을 통과하도록 하기 위해서 터널을 이용하는 것은 TCS(103/104/105) 뒷 단에 존재하는 모든 장치들의 IP 주소가 전달망(108)에 공개되지 않기 때문이다. 즉, 제어 서버(110)에 의해서 관리되는 모든 장치들에게 할당된 IP 주소가 전달망(108)에 공개되지 않기 때문에 일반적인 패킷 포워딩이 불가능하고, 이러한 문제를 해결하기 위해서 터널을 사용한다.
이와 같은 TCS들(103/104/105) 간에 터널이 미리 설정됨으로써 제어 서버(110)와 TCS들(103/104/105) 간에 교환되는 터널 설정 정보를 최소화할 수 있다. 다만, 서비스 서버(107)와 보안 게이트웨이(SGW)(106)를 은닉하기 위해서 은닉 주소를 사용하는 경우에는 실시간으로 터널이 생성될 필요가 있다.
이하, 본 발명에서 정책에 따라서 터널을 제어하고 관리하기 위한 정보, 사용자 정보, 사용자가 접근할 수 있는 서비스 정보, 장치 정보 등을 정의하고, 실시간으로 터널을 검색하거나 생성하기 위한 방법에 대해서 기술한다.
도 2는 도 1의 데이터베이스(111)의 구성 요소들을 설명하기 위한 도면이다. 도 2를 참조하면, 데이터베이스(111)는 사용자와 관련된 정보를 관리하기 위한 사용자 관리 정보(202), 관리되는 장치들과 관련된 정보를 관리하기 위한 구성 관리 정보(204), 각종 프로파일과 관련된 정보를 관리하기 위한 프로파일 관리 정보(209), 터널 설정과 관련된 정보를 관리하기 위한 설정 관리 정보(215) 등을 메모리 등 저장 수단에 저장 관리할 수 있다.
사용자 관리 정보(202)는 사용자 관리를 위한 사용자 정보(203)를 포함하며, 예를 들어, 사용자 단말(들)(101)과 연관된 사용자 ID(Identification), 기본 정보, IP 주소 등을 포함할 수 있다(도 3 참조).
구성 관리 정보(204)는 관리되는 장치 및 자원 정보를 포함하며, 예를 들어, TCS(103/104/105) 구성 정보(205), AGW 구성 정보(206), SGW 구성 정보(207), IP 주소 풀(Pool) 구성 정보(208)를 포함할 수 있다(도 4 참조). IP 주소 풀(Pool)은 은닉 IP 주소 Pool을 의미하며 이러한 은닉 IP 주소는 임의로 생성 선택된 난수값을 사용하여 정해질 수 있다.
프로파일 관리 정보(209)는 터널의 특성을 관리하기 위한 다양한 프로파일 정보, 정책에 따라서 터널을 할당하기 위한 프로파일 정보, 및 서비스와 관련된 프로파일 정보 등 각종 프로파일과 관련된 정보를 포함하며, 예를 들어, 터널의 QoS를 정의하기 위한 QoS 프로파일 정보 (210), 터널의 보안 특성을 정의하기 위한 보안 프로파일 정보(211), 터널의 특성을 정의하기 위한 터널 프로파일 정보 (212), 터널을 실제로 사용할 트래픽의 특성을 정의하기 위한 연결 프로파일 정보(213), 서비스의 특성을 정의하기 위한 서비스 프로파일 정보(214) 등을 포함할 수 있다(도 5 참조).
설정 관리 정보(215)는 터널을 설정하고 터널을 이용할 트래픽을 정의하기 위한 각종 관리 정보를 포함하며, 예를 들어, 터널을 설정하기 위한 터널 제어 정보(216), 설정된 터널을 이용할 트래픽을 설정하기 위한 터널 사용 정보(217) 등을 포함할 수 있다(도 6 참조).
도 3은 도 1의 데이터베이스(111)에 관리되는 사용자 관리 정보(202)를 설명하기 위한 도면이다.
도 3을 참조하면, 사용자 관리 정보(202)는 사용자 관리를 위한 사용자 정보(203)를 포함하며, 예를 들어, 검색에 사용되는 사용자 ID 등 인덱스(301), 운영자에 의해서 입력되거나 장치(120)의 동작 결과에 따라 입력되는 입력 정보(302), 및 운영자가 입력하지 않고 특정 절차를 수행한 결과나 데이터베이스(111)에서 검색하여 읽어온 값인 검색 정보(303) 등을 포함한다.
여기서, 입력 정보(302)는 이름, 생일, 직업 등과 같은 사용자에 대한 기본 정보(305), 해당 사용자가 접근할 수 있는 서비스 목록(306) 등을 포함한다. 서비스 목록(306)은 도 5에 포함된 서비스 프로파일 정보(214)의 서비스 프로파일 ID(519)나 서비스 프로파일 이름(520) 등을 포함할 수 있다.
검색 정보(303)는 사용자 단말(101)에서 사용하는 IP 주소(307), 사용자 단말(101)이 접속한 AGW(102) 상위에 존재하는 TCS 정보(308), 사용자 단말(101)이 접속한 AGW(102) 정보(309), 인증을 위한 키 혹은 무선 구간의 메시지 보호를 위해서 사용되는 키 등과 같은 키 정보(310) 등을 포함한다. IP 주소(307)는 ID 개념으로 사용되는 IP 주소 또는 DHCP(Dynamic Host Configuration Protocol) 등을 이용해서 할당되어 네트워크에서 사용되는 IP 주소 등일 수 있다.
이러한 사용자 정보(203)는 데이터베이스(111) 실제 검색 시에는 표시 장치 등을 통하여 출력되지 않으며 데이터베이스(111)에 저장하는 경우에도 암호화되어 저장 관리될 수 있다.
도 4는 도 1의 데이터베이스(111)에 관리되는 구성 관리 정보(204)를 설명하기 위한 도면이다.
도 4를 참조하면, 구성 관리 정보(204)는 관리되는 장치 및 자원 정보를 포함하며, 예를 들어, TCS 구성 정보(205), AGW 구성 정보(206), SGW 구성 정보(207), IP 주소 풀(Pool) 구성 정보(208)를 포함할 수 있다. IP 주소 풀(Pool)은 은닉 주소 Pool을 의미하며 이러한 은닉 주소는 임의로 생성 선택된 난수값을 사용하여 정해질 수 있다.
예를 들어, TCS 구성 정보(205)는, 검색에 사용되는 TCS(103/104/105) 장치 이름(401) 등 인덱스를 포함하고, 운영자에 의해서 입력되거나 장치(120)의 동작 결과에 따라 입력되는 입력 정보로서, TCS(103/104/105)를 제어하기 위한 매니지먼트 IP 주소와 포트 번호(402) 및 TCS(103/104/105)의 인터페이스 타입(403)을 포함한다. 또한, TCS 구성 정보(205)는, 운영자가 입력하지 않고 특정 절차를 수행한 결과나 데이터베이스(111)에서 검색하여 읽어온 값인 검색 정보로서 TCS의 인터페이스 정보(404)를 포함한다. TCS(103/104/105)가 부팅되면 TCS(103/104/105)가 제어 서버(110)에게 자신이 보유하고 있는 인터페이스 정보를 올려주고 이 인터페이스 정보 정보는 TCS의 인터페이스 정보(404) 형태로 저장된다. 즉, 제어 서버(110)가 수신한 인터페이스 정보에 따라, 소정 표시 장치 등을 통하여 운영자가 가입자 인터페이스, 터널 인터페이스, 서비스 인터페이스, 제어 인터페이스 등으로 구분할 수 있고, 이러한 구분된 정보는 TCS의 인터페이스 타입(403) 형태로 저장된다.
AGW 구성 정보(206)는, 검색에 사용되는 AGW(102) 장치 이름(405) 등 인덱스를 포함하고, 운영자에 의해서 입력되거나 장치(120)의 동작 결과에 따라 입력되는 입력 정보로서, AGW를 제어하기 위한 매니지먼트 IP와 포트 번호(406), AGW(102) 상위에 존재하는 TCS(103) 정보(407), 및 AGW(102)가 참조하기 위한 DHCP 풀(Pool) 정보(408) 등을 포함한다. TCS 정보(407)는 401과 같은 TCS 장치 이름 등을 포함할 수 있다. 사용자 단말(101)이 AGW(102)에게 네트워크용 IP 주소를 요청하는 경우 AGW(102)가 DHCP 풀(Pool) 정보(408)를 참조하여 네트워크용 IP 주소를 할당할 수 있다.
SGW 구성 정보(207)는, 검색에 사용되는 SGW(106) 장치 이름(409) 등 인덱스를 포함하고, 운영자에 의해서 입력되거나 장치(120)의 동작 결과에 따라 입력되는 입력 정보로서, SGW를 관리하기 위한 매니지먼트 SGW IP 주소와 포트 번호(410), TCS(105) 인터페이스 및 서비스 서버(107) 인터페이스로 구분된 SGW(106)의 인터페이스 타입(411), SGW(106) 상위에 위치한 TCS(105) 정보(412) 등을 포함한다. 또한, SGW 구성 정보(207)는, 운영자가 입력하지 않고 특정 절차를 수행한 결과나 데이터베이스(111)에서 검색하여 읽어온 값인 검색 정보로서, SGW(106)가 보유한 인터페이스 정보(413)를 포함한다. SGW(106)가 부팅되는 시점에 SGW(106)는 인터페이스 정보(413)를 제어 서버(110)에게 전달한다.
IP 주소 풀(Pool) 구성 정보(208)는, 검색에 사용되는 ID 개념의 IP 주소(414) 등 인덱스를 포함하고, 운영자가 입력하지 않고 특정 절차를 수행한 결과나 데이터베이스(111)에서 검색하여 읽어온 값인 검색 정보로서, 해당 IP 주소(414)가 사용자 단말(101)에 할당된 경우 해당 사용자 정보(415), 해당 IP 주소(414)가 SGW(106)에 할당된 경우 해당 SGW 정보(416), 해당 IP 주소(414)가 서비스 서버(107)에 할당된 경우 해당 서비스 서버 정보(417) 등을 포함한다. 즉, 하나의 IP 주소인 414는 사용자 단말(101), SGW(106), 혹은 서비스 서버(107) 중에서 어느 장치에 할당되었는지 여부에 따라서 (415), (416), 그리고 (417)값이 검색될 수 있도록 한다.
도 5는 도 1의 데이터베이스(111)에 관리되는 프로파일 관리 정보(209)를 설명하기 위한 도면이다.
도 5를 참조하면, 프로파일 관리 정보(209)는 터널의 특성을 관리하기 위한 다양한 프로파일 정보, 정책에 따라서 터널을 할당하기 위한 프로파일 정보, 및 서비스와 관련된 프로파일 정보 등 각종 프로파일과 관련된 정보를 포함하며, 예를 들어, 터널의 QoS를 정의하기 위한 QoS 프로파일 정보(210), 터널의 보안 특성을 정의하기 위한 보안 프로파일 정보(211), 터널의 특성을 정의하기 위한 터널 프로파일 정보 (212), 터널을 실제로 사용할 트래픽의 특성을 정의하기 위한 연결 프로파일 정보(213), 서비스의 특성을 정의하기 위한 서비스 프로파일 정보(214) 등을 포함할 수 있다.
터널의 QoS를 정의하기 위한 QoS 프로파일 정보 (210)는, 검색에 사용되는 QoS 프로파일의 ID(501) 등 인덱스를 포함하고, 운영자에 의해서 입력되거나 장치(120)의 동작 결과에 따라 입력되는 입력 정보로서, QoS 프로파일 이름(502), GR(Guaranteed Rate), MR(Maximum Rate), AR(Available Rate), CR(Composite Rate) 등의 트래픽 타입(503), 대역폭(504) 등을 포함한다. QoS 프로파일은 QoS 정책에 따라서 다양한 값들이 사용될 수 있다.
터널의 보안 특성을 정의하기 위한 보안 프로파일 정보(211)는, 검색에 사용되는 보안 프로파일의 ID(505) 등 인덱스를 포함하고, 운영자에 의해서 입력되거나 장치(120)의 동작 결과에 따라 입력되는 입력 정보로서, 보안 프로파일의 이름(506), 키 교환 알고리즘 종류(507), 암호화 또는 복호화 알고리즘 종류(508) 등을 포함할 수 있다. 키 교환 알고리즘 종류(507)는, IKE와 같은 특정 프로토콜을 나타낼 수도 있으며, IKE(Internet Key Exchange)와 같은 특정 프로토콜에서 사용하는 암호화 또는 복호화 알고리즘(예, DES, 3-DES, AES, SEED 등)을 나타낼 수도 있다. 암호화 또는 복호화 알고리즘 종류(508)는, 메시지를 보호하기 위한 알고리즘으로서, AH/ESP(Authentication Header/Encapsulating Security Payload)와 같은 특정 방식을 나타낼 수도 있으며, AH/ESP에서 사용하는 암호화 또는 복호화 알고리즘을 나타낼 수도 있고, 필요에 따라서는 해쉬 알고리즘 종류를 포함할 수도 있다. 즉, 보안 프로파일 정보(211)과 QoS 프로파일 정보(210)의 구체적인 값인 보안 정책이나 QoS 정책에 따라서 암호화 또는 복호화 알고리즘 종류(508)가 정의될 수 있다.
터널의 특성을 정의하기 위한 터널 프로파일 정보(212)는, 검색에 사용되는 터널 프로파일의 ID(509) 등 인덱스를 포함하고, 운영자에 의해서 입력되거나 장치(120)의 동작 결과에 따라 입력되는 입력 정보로서, 터널 이름(510), IP-in-IP, IPSec, GRE 등과 같이 터널 종류를 나타내는 터널 타입(511), 터널의 소스 IP 주소(512), 터널의 목적지 IP 주소(513) 등을 포함한다. 즉, 터널 프로파일 정보(212)는 터널의 종류와 터널의 출발점과 도착점과 관련된 정보를 관리한다.
터널을 실제로 사용할 트래픽의 특성을 정의하기 위한 연결 프로파일 정보(213)는, 검색에 사용되는 연결 프로파일의 ID(514) 등 인덱스를 포함하고, 운영자에 의해서 입력되거나 장치(120)의 동작 결과에 따라 입력되는 입력 정보로서, 연결 정보의 이름(515), 소스 IP 주소 대역(516), 목적지 IP 주소 대역(517), IP 패킷의 처리 방법을 결정하기 위한 DSCP(differentiated services codepoint) 값(518) 등을 포함할 수 있다. 이와 같이 연결 프로파일 정보(213)는, 특정 터널을 이용할 트래픽을 결정하기 위한 정보를 포함한다. 즉, 패킷의 IP 헤더에 포함된 소스 IP 주소, 목적지 IP 주소, DSCP 값을 이용해서 패킷이 이용할 터널을 결정하도록, TCS(103/104/105)에 연결 프로파일 정보(213)를 제공한다. 이때 TCS(103/104/105)에서는 소스 IP 주소 대역(516), 목적지 IP 주소 대역(517), DSCP 값(518)을 검색 인덱스로 사용하여 검색하면 검색되는 해당 터널 정보의 테이블을 관리할 수 있다. 물론 소스 IP 주소 대역(516), 목적지 IP 주소 대역(517)을 검색할 때는 longest prefix match 방식을 이용할 수 있다.
서비스의 특성을 정의하기 위한 서비스 프로파일 정보(214)는, 검색에 사용되는 서비스 프로파일의 ID(519) 등 인덱스를 포함하고, 운영자에 의해서 입력되거나 장치(120)의 동작 결과에 따라 입력되는 입력 정보로서, 서비스 프로파일의 이름(520), 은닉 IP 주소를 사용하는 서비스인지 여부를 나타내는 플래그 값(521), 서비스 서버(107)의 IP 주소(522)(예, 플래그 값(521)이 은닉 IP 주소를 사용하는 서비스임을 나타낸다면, 실제 서비스 서버(107)의 IP 주소와 IP Pool 구성 정보(208)에서 임의의 IP 주소 값을 선택한 은닉 IP 주소를 포함함), SGW 구성 정보(207)의 SGW(106) 장치 이름(409), SGW(106) IP 주소(410) 등과 같은 SGW 정보(523)(예, 서비스가 은닉 IP 주소를 사용하는 경우에는 실제 IP 주소 이외에 IP Pool 구성 정보(208)에서 임의의 IP 주소 값을 선택한 은닉 IP 주소를 모두를 포함), 사용자 단말(101)이 패킷을 생성할 때 사용할 DSCP 값(524), QoS 프로파일(525), 보안 프로파일(526) 등을 포함한다. 여기서, DSCP 값(524)은 사용자 단말(101)이 패킷을 생성할 때 사용할 값으로서, 인증 서버(109)에 의해 사용자 단말(101)에 대한 인증을 완료한 후에, 제어 서버(110)는 서비스 프로파일 정보(214)를 기초로 사용자 단말(101)이 접근할 수 있는 서비스 리스트를 사용자 단말(101)에게 전달하며, 이때 전달되는 서비스 리스트에는 DSCP 값(524)이 포함된다. 사용자 단말(101)이 특정 서비스를 사용하는 경우, 서비스를 위한 패킷에 DSCP 값(524)을 포함시키고, TCS(103/104/105)에서 특정 패킷에 사용할 터널을 검색할 때 DSCP 값(524)을 사용함으로써 특정 서비스에 대해 QoS 정책을 적용할 수 있다. QoS 프로파일(525)과 보안 프로파일(526)은, TCS(103/104/105)에서 패킷에 적합한 터널을 검색하지 못하는 경우에, 터널을 검색하거나 생성할 때 사용할 값들이다. 이에 대하여 하기의 도 7의 설명에서 좀 더 자세히 기술하기로 한다. 은닉 주소를 사용하는 경우에는, SGW(106)에 서비스 서버(107)의 은닉 IP 주소와 실제 IP 주소 정보, 그리고 SGW(106)의 은닉 IP 주소와 실제 IP 주소 정보를 전달할 필요가 있다. 이러한 정보는 서비스 프로파일 (214)를 검색함으로써 얻을 수 있다.
도 6은 도 1의 데이터베이스(111)에 관리되는 설정 관리 정보(215)를 설명하기 위한 도면이다.
도 6을 참조하면, 설정 관리 정보(215)는 터널을 설정하고 터널을 이용할 트래픽을 정의하기 위한 각종 관리 정보를 포함하며, 예를 들어, 터널을 설정하기 위한 터널 제어 정보(216), 설정된 터널을 이용할 트래픽을 설정하기 위한 터널 사용 정보(217) 등을 포함할 수 있다.
터널을 설정하기 위한 터널 제어 정보(216)는, 검색에 사용되는 터널 제어 정보의 ID(601) 등 인덱스, 운영자에 의해서 입력되거나 장치(120)의 동작 결과에 따라 입력되는 입력 정보로서, (509)와 같은 터널 프로파일 ID(602), (501)과 같은 QoS 프로파일 ID(603), (505)와 같은 보안 프로파일 ID(604) 등을 포함한다. 이러한 프로파일 정보들(602, 603 604)은 터널의 특성을 나타내기 위해서 사용한다. 즉, 터널 프로파일 ID(602)를 통해서 터널의 타입, 출발점과 도착점을 나타내고, 특정 터널이 갖는 QoS 특징과 보안 특징은 각각 QoS 프로파일 ID(603)와 보안 프로파일 ID(604)를 통해서 나타낼 수 있다. 이러한 프로파일 정보들(602, 603 604)가 TCS(103/104/105)에 전달되면 해당 TCS는 세 가지 프로파일에 맞도록 터널을 생성하게 된다. 또한, 터널 제어 정보(216)는, 운영자가 입력하지 않고 특정 절차를 수행한 결과나 데이터베이스(111)에서 검색하여 읽어온 값인 검색 정보로서, 터널이 TCS에 설정된 상태인지 여부를 확인하기 위한 상태값(605)을 포함할 수 있다.
설정된 터널을 이용할 트래픽을 설정하기 위한 터널 사용 정보(217)는, 검색에 사용되는 터널 사용 정보의 ID(606) 등 인덱스, 운영자에 의해서 입력되거나 장치(120)의 동작 결과에 따라 입력되는 입력 정보로서, (601)과 같이 설정된 터널 제어 정보(607), (514)와 같은 연결 프로파일 정보(608) 등을 포함한다. 또한, 터널 사용 정보(217)는, 운영자가 입력하지 않고 특정 절차를 수행한 결과나 데이터베이스(111)에서 검색하여 읽어온 값인 검색 정보로서, 터널 사용 정보(217)가 현재 TCS에 적용된 상태인지 여부를 확인하기 위한 상태값(609)을 포함할 수 있다. TCS(103/104/105)에서 정상적으로 처리가 되면 제어 서버(110)로 그 결과를 전달하고 제어 서버(110)는 데이터베이스(111)에 상태값(609)을 반영한다. 터널 사용 정보(217)는, 연결 프로파일 정보(213)에서 정의한 소스 IP 주소 대역(516)과 목적지 IP 주소 대역(517), 그리고 DSCP 값(518)을 갖는 트래픽들이, 설정된 특정 터널을 이용하도록 설정하는 정보이다.
도 7은 본 발명의 일 실시예에 따른 네트워크 통합 관리 장치(120)에서 자동 터널 생성 과정을 설명하기 위한 흐름도이다. 이하에서는 네트워크 통합 관리 장치(120)가 자동으로 터널을 검색하거나 생성하기 위한 절차를 설명한다. 특정 서비스가 은닉 IP 주소를 사용하는 경우, 사용자 단말(101) IP 주소, AGW(102) IP 주소, SGW(106) IP 주소, 서비스 서버 IP 주소(107)는 모두 임의의 난수값을 갖는 은닉 IP 주소를 사용한다. 이러한 경우에는 TCS와 TCS간에 특정 터널을 통한 통신을 위하여, 은닉 IP 주소를 위한 터널이 실시간으로 검색되거나 생성될 필요가 있다. 도 7은 이렇게 실시간으로 터널을 검색하거나 생성하기 위한 절차를 구체적으로 나타낸 것이다.
실시간으로 터널을 검색하거나 생성하기 위하여, 먼저, 예를 들어, 사용자 단말(101)이 제어 서버(110)에게 서비스 리스트를 요청한다(701). 이에 따라 인증 서버(109)가 데이터베이스(111)의 사용자 관리 정보를 참조해 사용자 단말(101)에 대한 인증을 완료한 후에, 제어 서버(110)는 데이터베이스(111)를 검색하여 서비스 프로파일 정보(214)를 기초로 해당 사용자 단말(101)이 접근할 수 있는 서비스 리스트를 획득하여 서비스 리스트를 사용자 단말(101)에게 전달한다(702).
다음에 제어 서버(110)는 획득한 서비스 리스트의 각 서비스에 대하여, 서비스 프로파일 정보(214)의 플래그 값(521)을 참조하여 해당 서비스가 은닉 IP 주소를 사용하는 서비스인지 여부를 판단한다(703). 이때 해당 서비스가 은닉 IP 주소를 사용하지 않는 경우에는 실시간으로 터널을 검색하거나 설정하는 절차를 생략하고, 해당 서비스가 은닉 IP 주소를 사용하는 경우에는 하기와 같이 해당 서비스에 대하여 실시간으로 터널을 검색하거나 설정하는 절차를 수행한다.
위와 같이 703 단계에서 해당 서비스가 은닉 IP 주소를 사용하는 경우에, 제어 서버(110)는 서비스 프로파일 정보(214)에 기초한 요구된 터널이 터널 프로파일 정보(212)에 존재하는지 여부(즉, 요구 터널의 소스 TCS와 목적지 TCS가 존재하는지 여부)를 검색한다(704). 예를 들어, 제어 서버(110)는 서비스 프로파일(214)에서 은닉 IP 주소를 사용하는 서비스의 SGW 정보(523)를 얻을 수 있고, SGW 정보(523)에서 TCS 정보(412)를 얻을 수 있으며, 이렇게 획득한 TCS 정보(412)에 해당하는 TCS가 터널의 목적지 혹은 소스가 된다. 또한, 제어 서버(110)는 사용자 단말(101)이 접속한 AGW(102) 정보(309)로부터 AGW 구성 정보(206)의 TCS 정보(407)를 검색할 수 있으며, 이렇게 획득한 TCS 정보가 터널의 목적지 혹은 소스가 된다. 즉, 사용자 단말(101)에서 서비스 서버(107)로 패킷이 전달되는 경우에는 사용자 단말(101) 측에 위치한 TCS(103)가 터널의 소스가 되고 서비스 서버(107) 측에 위치한 TCS(105)가 터널의 목적지가 된다. 역 방향으로 패킷이 전달되는 경우에는 반대로 터널의 소스와 목적지가 결정된다. 이렇게 획득한 터널의 소스 및 목적지 정보를 이용해서 터널 프로파일 정보(212)에서 해당 서비스에 적당한 터널 프로파일 엔티티를 방향성에 맞도록 검색한다(704).
이와 같이 서비스 프로파일 정보(214)에 기초한 요구된 터널이 터널 프로파일 정보(212)의 엔티티에 있는 것으로 성공적인 검색이 이루어진 경우 제어 서버(110)는 706 절차를 수행하고, 해당 검색이 실패된 경우 제어 서버(110)는 705 절차를 수행한다.
해당 검색이 실패된 경우(704), 제어 서버(110)는 검색에 실패한 해당 요구 터널(해당 소스 TCS와 목적지 TCS의 터널)에 대한 터널 프로파일 정보(212)의 엔티티를 생성한다(705).
해당 검색이 성공적으로 이루어진 경우(704), 제어 서버(110)는 서비스 프로파일(214)에 포함된 QoS 프로파일 정보(525), 보안 프로파일 정보(526), 그리고 (704) 절차에서 검색한 터널 프로파일 엔티티와 일치하는 해당 터널 제어 정보의 엔티티를, 터널 제어 정보(216)에서 검색한다(706). 이와 같은 3 정보(525, 526, 터널 프로파일 엔티티)가 모두 일치하는 터널 제어 정보(216)의 엔티티를 찾으면 검색 성공이고, 그렇지 않으면 실패로 판정한다. 검색이 성공하면 (707) 절차를 수행하고, 검색이 실패하면 (708) 절차를 수행한다.
제어 서버(110)는 (707) 절차에서, 상태값(605)을 확인하여 상기 검색한 터널 제어 정보의 엔티티가 실제로 TCS(103/104/105)에 설정된 상태인지를 검사한다. (707) 절차에서 TCS에 설정된 상태를 확인하면 트래픽을 전달할 터널은 이미 TCS에서 설정된 상태임을 의미한다.
제어 서버(110)는 (708) 절차에서 해당 서비스에 대한 터널 설정을 위하여, (704) 절차에서 검색되었거나 (705)절차를 통해서 생성된 터널 프로파일 정보(212)의 엔티티를 터널 프로파일(212의 하나)로서 이용하고, (706) 절차에서 사용된 QoS 프로파일 정보(525), 보안 프로파일 정보(526)의 엔티티를 QoS 프로파일(210의 하나) 및 보안 프로파일(211의 하나)로서 이용한다. 이에 따라 제어 서버(110)는 602, 603, 604의 정보가 되도록 반영하여 터널 제어 정보(216)(하나의 엔티티)을 추가 생성하여 터널 생성을 완료하고, 그 정보를 TCS(103/104/105)에게 전달한다. TCS(103/104/105)는 터널 생성 정보에 따른 터널 제어에 대한 설정을 성공적으로 완료한 후에 제어 서버(110)에게 그 결과를 통보하고, 제어 서버(110)는 결과를 (605)의 상태값에 반영한다.
이와 같이 해당 서비스에 대한 터널 설정이 이루어진 후에, 제어 서버(110)는 연결 프로파일 정보(213)에 은닉 IP 주소를 이용해서 해당 엔티티를 추가하고, 터널 사용 정보(217)에 (708) 절차를 통해서 얻은 해당 터널 제어 정보에 따른 (607)의 터널 제어 정보, 및 상기 추가한 연결 프로파일 정보의 엔티티에 따른 (608)의 연결 프로파일 정보를 새롭게 추가하여, 해당 엔티티의 생성을 업데이트한다(709). 즉, 사용자 단말(101)의 은닉 IP 주소(예, 소스 IP 주소)와 SGW(106)의 은닉 IP 주소(예, 목적지 IP 주소), 그리고 서비스 프로파일(214)에 포함된 DSCP 값(524)으로 연결 프로파일 정보(213)에 하나의 엔티티를 추가하고, 역 방향(SGW를 소스로하고 사용자 단말을 목적지로하는 방향)에 대해서도 엔티티 프로파일을 하나 추가한다.
또한, 제어 서버(110)는 (707) 절차를 통해서 검색되거나 (708) 절차를 통해서 획득한 사용자 단말(101) 측 TCS(103)에서 서비스 서버(107) 측 TCS(105)로 향하는 터널 제어 정보(216)와 위 절차를 통해서 얻은 연결 프로파일 정보(213)로 터널 사용 정보 (217)의 엔티티를 하나 추가한다(709). 역시 역방향(서비스 서버(107) 측 TCS(105)에서 사용자 단말(101) 측 TCS(103)로 향하는 방향)에 대해서도 터널 사용 (217)의 엔티티를 추가한다.
이렇게 생성된 연결 프로파일 정보(213) 엔티티를 포함하는 업데이트된 터널 사용 정보(217) 엔티티는 TCS로 전달하여 해당 특정 터널을 통해 통신하도록 한다(710). TCS에서 정상적으로 처리되면 그 결과를 제어 서버(110)로 전달하고 제어 서버(110)는 데이터베이스(111)의 상태값(609)에 반영한다.
도 8은 본 발명의 일 실시예에 따른 매니지드 네트워크 상의 네트워크 통합 관리 장치(120)의 구현 방법의 일례를 설명하기 위한 도면이다. 본 발명의 일 실시예에 따른 네트워크 통합 관리 장치(120)는 하드웨어, 소프트웨어, 또는 이들의 결합으로 이루어질 수 있다. 예를 들어, 네트워크 통합 관리 장치(120)는 도 8과 같은 컴퓨팅 시스템(1000)으로 구현될 수 있다.
컴퓨팅 시스템(1000)은 버스(1200)를 통해 연결되는 적어도 하나의 프로세서(1100), 메모리(1300), 사용자 인터페이스 입력 장치(1400), 사용자 인터페이스 출력 장치(1500), 스토리지(1600), 및 네트워크 인터페이스(1700)를 포함할 수 있다. 프로세서(1100)는 중앙 처리 장치(CPU) 또는 메모리(1300) 및/또는 스토리지(1600)에 저장된 명령어들에 대한 처리를 실행하는 반도체 장치일 수 있다. 메모리(1300) 및 스토리지(1600)는 다양한 종류의 휘발성 또는 불휘발성 저장 매체를 포함할 수 있다. 예를 들어, 메모리(1300)는 ROM(Read Only Memory) 및 RAM(Random Access Memory)을 포함할 수 있다.
따라서, 본 명세서에 개시된 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는 프로세서(1100)에 의해 실행되는 하드웨어, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM과 같은 저장 매체(즉, 메모리(1300) 및/또는 스토리지(1600))에 상주할 수도 있다. 예시적인 저장 매체는 프로세서(1100)에 커플링되며, 그 프로세서(1100)는 저장 매체로부터 정보를 판독할 수 있고 저장 매체에 정보를 기입할 수 있다. 다른 방법으로, 저장 매체는 프로세서(1100)와 일체형일 수도 있다. 프로세서 및 저장 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 저장 매체는 사용자 단말기 내에 개별 컴포넌트로서 상주할 수도 있다.
상술한 바와 같이, 본 발명에 따른 네트워크 통합 관리 장치(120)는, 정책에 기반을 두는 다양한 프로파일을 정의하고, 특정 사용자와 서비스가 특정 터널을 이용할 수 있도록 구축되는 데이터베이스(111)를 이용하여, 사용자 또는 가입자 측 액세스 네트워크, 인증 및 제어 서버 팜, 그리고 서비스를 제공하는 서비스 팜 및 데이터 센터 등을 다양한 터널을 이용해서 연결할 수 있다. 터널은 QoS 및 보안 정책에 따라서 다양한 형태를 가질 수 있으며, 사용자나 서비스의 종류에 따라서 다양한 터널을 사용할 수 있다. 또한, 은닉 주소와 같이 임의의 IP 주소가 사용되는 경우에 데이터베이스에 구축된 정보를 이용해서 실시간으로 터널을 검색하거나, 검색이 실패하면 새로운 터널을 생성하여 이용할 수 있는 방법을 제공할 수 있으며, 또한, TCS(Tunnel Control System) 사이의 터널을 사용함으로써 기존 전달망을 수정할 필요 없이 이용 가능하다.
그리고, 본 발명에 따른 네트워크 통합 관리 장치(120)에 따르면, 로컬 네트워크별로 주소를 비롯한 자원을 관리하고, 보안이나 QoS 정책에 따른 프로파일을 관리하며, 정책을 정의한 프로파일에 따른 터널을 설정하고, 설정된 터널을 사용자 및 서비스별로 관리하여, 연결 가능한 터널이 없는 경우 실시간으로 터널을 검색하고 생성함으로써, 사용자 및 서비스별로 다양한 특성을 갖는 터널을 사용할 수 있도록 할 수 있다. 이러한 방식은 네트워크를 효율적으로 관리하고 활용할 뿐만 아니라 다양한 형태의 사이버 공격에 대응할 수 있다. 즉, 특정 터널을 이용하지 않는 트래픽은 모두 필터링이 가능함으로써 서버로부터의 정보 유출이나 DDoS와 같은 사이버 공격에 대한 안전성이 향상된다. 특히, VPN 서버의 주소가 임의의 주소인 경우에도 사설 네트워크 간에 연결성을 제공하기 때문에 VPN 서버에 대한 공격을 원천적으로 방어할 수 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.
따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
사용자 단말(UE, User Equipment)(101)
액세스 게이트웨이(AGW, Access Gateway)(102)
TCS(Tunnel Control System)(103/104/105)
보안 게이트웨이(SGW, Security Gateway)(106)
서비스 서버(107)
전달망(108)
인증 서버(109)
제어 서버(110)
데이터베이스(111)
네트워크 통합 관리 장치(120)

Claims (16)

  1. 매니지드 네트워크 시스템에서의 네트워크 통합 관리 방법에 있어서,
    사용자 단말들에 대한 사용자 관리 정보, 관리되는 장치들에 대한 구성 관리 정보, 프로파일들에 대한 프로파일 관리 정보, 및 터널 설정에 대한 설정 관리 정보를 데이터베이스에 유지하는 단계;
    사용자 단말의 요청에 따라 상기 데이터베이스를 참조해 인증을 완료한 후 서비스 프로파일들에 기초한 서비스 리스트를 상기 사용자 단말로 제공하는 단계;
    상기 서비스 리스트의 각 서비스에 대하여, 상기 데이터베이스를 참조해 해당 서비스가 은닉 IP 주소를 사용하는 서비스인지 여부를 판단하는 단계; 및
    상기 은닉 IP 주소를 사용하는 서비스에 대하여, 실시간으로 상기 데이터베이스에서 해당 터널을 검색하거나 생성하여, 상기 데이터베이스에 상기 해당 터널에 대하여 TCS(Tunnel Control System)에 설정에 따른 터널 사용정보를 업데이트하는 단계
    를 포함하는 것을 특징으로 하는 네트워크 통합 관리 방법.
  2. 제1항에 있어서,
    상기 매니지드 네트워크 시스템에서의 네트워크 통합 관리 장치 측, 서비스 서버 측, 및 상기 사용자 단말 측, 각각의 TCS로 상기 터널 사용정보를 통보하여 TCS들에서의 터널 제어에 따라 상기 은닉 IP 주소를 위한 특정 터널을 이용해 전달망을 통과하여 서로 연동하기 위한 것을 특징으로 하는 네트워크 통합 관리 방법.
  3. 제2항에 있어서,
    상기 은닉 IP 주소를 사용하는 서비스에서, 상기 TCS들 간 터널을 통한 통신을 위하여, 상기 사용자 단말, 상기 서비스 서버, 상기 사용자 단말에 연결된 액세스 게이트웨이, 및 상기 서비스 서버에 연결된 보안 게이트웨이의, IP 주소는 난수 생성 방식으로 생성된 난수값을 갖는 것을 특징으로 하는 네트워크 통합 관리 방법.
  4. 제1항에 있어서,
    상기 터널 사용 정보는, 상기 프로파일 관리 정보 중 연결 프로파일 정보에서 관리되는, 소스 IP 주소로서의 상기 사용자 단말의 은닉 IP 주소, 목적지 IP 주소로서의 상기 서비스 서버 측 보안 게이트웨이의 은닉 IP 주소, 및 DSCP(differentiated services codepoint) 값을 갖는 트래픽들이, 상기 설정에 따른 특정 터널을 이용하도록 설정하기 위한 정보인 것을 특징으로 하는 네트워크 통합 관리 방법.
  5. 제1항에 있어서,
    상기 터널 사용정보를 업데이트하는 단계는,
    (a) 상기 프로파일 관리 정보 중 서비스 프로파일 정보에 기초한 해당 요구된 터널의 소스 TCS와 목적지 TCS에 대한 엔티티가 상기 프로파일 관리 정보 중 터널 프로파일 정보에 존재하는 것으로 검색된 경우, 상기 서비스 프로파일 정보에 포함된 QoS 프로파일 정보, 보안 프로파일 정보, 및 상기 소스 TCS와 목적지 TCS에 대한 상기 터널 프로파일 정보의 엔티티를 포함하는 정보를 포함하는, 상기 설정 관리 정보 중 터널 제어 정보의 엔티티를 검색하는 단계; 및
    (b) 검색된 상기 터널 제어 정보의 엔티티의 상태값을 확인하여 상기 TCS에 설정된 상태인지를 검사하는 단계
    를 포함하는 것을 특징으로 하는 네트워크 통합 관리 방법.
  6. 제5항에 있어서,
    상기 터널 사용정보를 업데이트하는 단계는,
    (c) 상기 요구된 터널의 소스 TCS와 목적지 TCS가 상기 터널 프로파일 정보에 존재하지 않는 경우, 상기 프로파일 관리 정보 중 터널 프로파일 정보에 상기 소스 TCS와 목적지 TCS를 포함하는 엔티티를 생성하는 단계; 및
    (d) (a) 단계에서 검색되거나 (c) 단계에서 생성된 상기 소스 TCS와 목적지 TCS에 대한 엔티티를 포함하는 터널 프로파일 정보, 상기 QoS 프로파일 정보, 및 상기 보안 프로파일 정보를 포함하는 상기 터널 제어 정보의 엔티티를 추가하는 단계
    를 더 포함하는 것을 특징으로 하는 네트워크 통합 관리 방법.
  7. 제6항에 있어서,
    상기 터널 사용정보를 업데이트하는 단계는,
    (e) 상기 터널 제어 정보의 엔티티를 네트워크 상의 TCS들로 통보하고 그 응답을 받아 상기 터널 제어 정보의 상태값에 반영하는 단계
    를 더 포함하는 것을 특징으로 하는 네트워크 통합 관리 방법.
  8. 제7항에 있어서,
    (e) 단계 후에,
    상기 사용자 단말의 상기 은닉 IP 주소, 서비스 서버 측 보안 게이트웨이의 상기 은닉 IP 주소, 및 상기 서비스 프로파일 정보에 포함된 DSCP 값을 포함하도록, 상기 프로파일 관리 정보 중 연결 프로파일 정보의 엔티티에 추가하는 단계; 및
    추가된 상기 터널 제어 정보의 엔티티와 추가된 상기 연결 프로파일 정보의 엔티티를 포함하도록, 상기 설정 관리 정보 중 터널 사용 정보의 엔티티를 추가하는 단계
    를 더 포함하는 것을 특징으로 하는 네트워크 통합 관리 방법.
  9. 매니지드 네트워크 시스템에서의 네트워크 통합 관리 장치에 있어서,
    사용자 단말들에 대한 사용자 관리 정보, 관리되는 장치들에 대한 구성 관리 정보, 프로파일들에 대한 프로파일 관리 정보, 및 터널 설정에 대한 설정 관리 정보를 저장 관리하는 데이터베이스;
    사용자 단말의 요청에 따라 상기 데이터베이스를 참조해 인증을 수행하는 인증서버; 및
    상기 인증을 완료한 후 서비스 프로파일들에 기초한 서비스 리스트를 상기 사용자 단말로 제공하고, 상기 서비스 리스트의 각 서비스에 대하여, 상기 데이터베이스를 참조해 해당 서비스가 은닉 IP 주소를 사용하는 서비스인지 여부를 판단하며, 상기 은닉 IP 주소를 사용하는 서비스에 대하여, 실시간으로 상기 데이터베이스에서 해당 터널을 검색하거나 생성하여, 상기 데이터베이스에 상기 해당 터널에 대하여 TCS(Tunnel Control System)에 설정에 따른 터널 사용정보를 업데이트하는 제어 서버
    를 포함하는 것을 특징으로 하는 네트워크 통합 관리 장치.
  10. 제9항에 있어서,
    상기 매니지드 네트워크 시스템에서의 상기 네트워크 통합 관리 장치 측, 서비스 서버 측, 및 상기 사용자 단말 측, 각각의 TCS로 상기 터널 사용정보를 통보하여 TCS들에서의 터널 제어에 따라 상기 은닉 IP 주소를 위한 특정 터널을 이용해 전달망을 통과하여 서로 연동하기 위한 것을 특징으로 하는 네트워크 통합 관리 장치.
  11. 제10항에 있어서,
    상기 은닉 IP 주소를 사용하는 서비스에서, 상기 TCS들 간 터널을 통한 통신을 위하여, 상기 사용자 단말, 상기 서비스 서버, 상기 사용자 단말에 연결된 액세스 게이트웨이, 및 상기 서비스 서버에 연결된 보안 게이트웨이의, IP 주소는 난수 생성 방식으로 생성된 난수값을 갖는 것을 특징으로 하는 네트워크 통합 관리 장치.
  12. 제9항에 있어서,
    상기 터널 사용 정보는, 상기 프로파일 관리 정보 중 연결 프로파일 정보에서 관리되는, 소스 IP 주소로서의 상기 사용자 단말의 은닉 IP 주소, 목적지 IP 주소로서의 상기 서비스 서버 측 보안 게이트웨이의 은닉 IP 주소, 및 DSCP(differentiated services codepoint) 값을 갖는 트래픽들이, 상기 설정에 따른 특정 터널을 이용하도록 설정하기 위한 정보인 것을 특징으로 하는 네트워크 통합 관리 장치.
  13. 제9항에 있어서,
    상기 제어 서버는,
    상기 프로파일 관리 정보 중 서비스 프로파일 정보에 기초한 해당 요구된 터널의 소스 TCS와 목적지 TCS에 대한 엔티티가 상기 프로파일 관리 정보 중 터널 프로파일 정보에 존재하는 것으로 검색된 경우, 상기 서비스 프로파일 정보에 포함된 QoS 프로파일 정보, 보안 프로파일 정보, 및 상기 소스 TCS와 목적지 TCS에 대한 상기 터널 프로파일 정보의 엔티티를 포함하는 정보를 포함하는, 상기 설정 관리 정보 중 터널 제어 정보의 엔티티를 검색한 후,
    검색된 상기 터널 제어 정보의 엔티티의 상태값을 확인하여 상기 TCS에 설정된 상태인지를 검사하는 것을 특징으로 하는 네트워크 통합 관리 장치.
  14. 제13항에 있어서,
    상기 제어 서버는,
    상기 요구된 터널의 소스 TCS와 목적지 TCS가 상기 터널 프로파일 정보에 존재하지 않는 경우, 상기 프로파일 관리 정보 중 터널 프로파일 정보에 상기 소스 TCS와 목적지 TCS를 포함하는 엔티티를 생성하고,
    검색되거나 생성된 상기 소스 TCS와 목적지 TCS에 대한 엔티티를 포함하는 터널 프로파일 정보, 상기 QoS 프로파일 정보, 및 상기 보안 프로파일 정보를 포함하는 상기 터널 제어 정보의 엔티티를 추가하는 것을 특징으로 하는 네트워크 통합 관리 장치.
  15. 제14항에 있어서,
    상기 제어 서버는, 상기 터널 제어 정보의 엔티티를 네트워크 상의 TCS들로 통보하고 그 응답을 받아 상기 터널 제어 정보의 상태값에 반영하는 것을 특징으로 하는 네트워크 통합 관리 장치.
  16. 제15항에 있어서,
    상기 제어 서버는, 상기 사용자 단말의 상기 은닉 IP 주소, 서비스 서버 측 보안 게이트웨이의 상기 은닉 IP 주소, 및 상기 서비스 프로파일 정보에 포함된 DSCP 값을 포함하도록, 상기 프로파일 관리 정보 중 연결 프로파일 정보의 엔티티에 추가하고,
    추가된 상기 터널 제어 정보의 엔티티와 추가된 상기 연결 프로파일 정보의 엔티티를 포함하도록, 상기 설정 관리 정보 중 터널 사용 정보의 엔티티를 추가하는 것을 특징으로 하는 네트워크 통합 관리 장치.
KR1020150052941A 2015-04-15 2015-04-15 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 KR20160122992A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150052941A KR20160122992A (ko) 2015-04-15 2015-04-15 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치
US15/044,489 US20160308904A1 (en) 2015-04-15 2016-02-16 Integrative network management method and apparatus for supplying connection between networks based on policy

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150052941A KR20160122992A (ko) 2015-04-15 2015-04-15 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20160122992A true KR20160122992A (ko) 2016-10-25

Family

ID=57129332

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150052941A KR20160122992A (ko) 2015-04-15 2015-04-15 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치

Country Status (2)

Country Link
US (1) US20160308904A1 (ko)
KR (1) KR20160122992A (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9952790B2 (en) * 2015-06-13 2018-04-24 Avocado Systems Inc. Application security policy actions based on security profile exchange
US10129220B2 (en) 2015-06-13 2018-11-13 Avocado Systems Inc. Application and data protection tag
US10270810B2 (en) 2015-06-14 2019-04-23 Avocado Systems Inc. Data socket descriptor based policies for application and data behavior and security
US10397277B2 (en) 2015-06-14 2019-08-27 Avocado Systems Inc. Dynamic data socket descriptor mirroring mechanism and use for security analytics
US10193889B2 (en) 2015-06-14 2019-01-29 Avocado Systems Inc. Data socket descriptor attributes for application discovery in data centers
US10148697B2 (en) 2015-06-16 2018-12-04 Avocado Systems Inc. Unified host based security exchange between heterogeneous end point security agents
US10193930B2 (en) 2015-06-29 2019-01-29 Avocado Systems Inc. Application security capability exchange via the application and data protection layer
US10356068B2 (en) 2015-07-14 2019-07-16 Avocado Systems Inc. Security key generator module for security sensitive applications
US10354070B2 (en) 2015-08-22 2019-07-16 Avocado Systems Inc. Thread level access control to socket descriptors and end-to-end thread level policies for thread protection
CN110324159B (zh) * 2018-03-28 2020-11-03 华为技术有限公司 链路配置方法、控制器和存储介质
US10644901B2 (en) * 2018-09-27 2020-05-05 Juniper Networks, Inc. Generating flexible, programmable, and scalable network tunnels on demand
US11956215B2 (en) 2021-07-14 2024-04-09 Uab 360 It System and method for blurring connection information in virtual private networks
US11196719B1 (en) * 2021-07-14 2021-12-07 Uab 360 It System and method for blurring connection information in virtual private networks
US11870751B2 (en) * 2021-10-11 2024-01-09 Cisco Technology, Inc. Smart service discovery to interconnect clusters having overlapping IP address space
WO2023158662A2 (en) * 2022-02-16 2023-08-24 Paul Westmeyer Encryption system and method

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6731599B1 (en) * 1999-07-01 2004-05-04 Nortel Networks Limited Automatic load sharing-trunking
US20030074443A1 (en) * 2001-10-15 2003-04-17 Makonnen Melaku Last mile quality of service broker (LMQB) for multiple access networks
WO2005076726A2 (en) * 2004-02-17 2005-08-25 Checkpoint Software Technologies Ltd. Mobile network security system
US8990431B2 (en) * 2009-05-05 2015-03-24 Citrix Systems, Inc. Systems and methods for identifying a processor from a plurality of processors to provide symmetrical request and response processing
WO2015198094A1 (en) * 2014-06-25 2015-12-30 Pismo Labs Technology Limited Methods and systems for transmitting and receiving data through one or more tunnel for packets satisfying one or more conditions

Also Published As

Publication number Publication date
US20160308904A1 (en) 2016-10-20

Similar Documents

Publication Publication Date Title
KR20160122992A (ko) 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치
US11038846B2 (en) Internet protocol security tunnel maintenance method, apparatus, and system
US11770702B2 (en) Session establishment method and means and communication system
CN102448064B (zh) 通过非3gpp接入网的接入
US10348686B2 (en) Systems and methods for application-specific access to virtual private networks
US11888652B2 (en) VXLAN implementation method, network device, and communications system
TW201703556A (zh) 網路安全架構
US8566590B2 (en) Encryption information transmitting terminal
CN107079023A (zh) 用于下一代蜂窝网络的用户面安全
CN105009509A (zh) 在信息中心网络中通过信任锚点扩增基于名称/前缀的路由协议
US20170238183A1 (en) Mac address-bound wlan password
CN110650075B (zh) 基于vxlan的组策略实现方法、网络设备和组策略实现系统
US9647876B2 (en) Linked identifiers for multiple domains
WO2022078214A1 (zh) 签约数据更新方法、装置、节点和存储介质
WO2019076000A1 (zh) 一种加密数据流的识别方法、设备、存储介质及系统
US20220174085A1 (en) Data Processing Method and Apparatus
US8819790B2 (en) Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment
CN110798437B (zh) 一种数据保护方法、装置及计算机存储介质
US20230300716A1 (en) Communication method and communication apparatus
US20190150223A1 (en) Method and system for providing signed user location information
CN114338167B (zh) 通信加密系统、方法、存储介质及电子设备
WO2019076025A1 (zh) 一种加密数据流的识别方法、设备、存储介质及系统
US20230336535A1 (en) Method, device, and system for authentication and authorization with edge data network