KR20170097457A - 식별자와 위치자가 분리된 네트워크에서의 접근제어를 위한 네트워크 장치와 시스템 및 그 방법 - Google Patents

식별자와 위치자가 분리된 네트워크에서의 접근제어를 위한 네트워크 장치와 시스템 및 그 방법 Download PDF

Info

Publication number
KR20170097457A
KR20170097457A KR1020160019239A KR20160019239A KR20170097457A KR 20170097457 A KR20170097457 A KR 20170097457A KR 1020160019239 A KR1020160019239 A KR 1020160019239A KR 20160019239 A KR20160019239 A KR 20160019239A KR 20170097457 A KR20170097457 A KR 20170097457A
Authority
KR
South Korea
Prior art keywords
identifier
network
destination
access
source
Prior art date
Application number
KR1020160019239A
Other languages
English (en)
Inventor
전해숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020160019239A priority Critical patent/KR20170097457A/ko
Publication of KR20170097457A publication Critical patent/KR20170097457A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Abstract

식별자와 위치자가 분리된 네트워크에서의 접근제어를 위한 네트워크 장치와 시스템 및 그 방법이 개시된다. 일 실시 예에 따른 네트워크 장치는, 식별자를 이용하여 식별자와 위치자가 분리된 네트워크에 연결되는 통신장치 간의 패킷 송수신을 처리하는 통신부와, 소스 식별자에 대한 네트워크 진입 및 소스 식별자의 목적지 식별자에 대한 접근권한을 확인하여 통신부를 통한 패킷 송수신을 제어하는 프로세서를 포함한다.

Description

식별자와 위치자가 분리된 네트워크에서의 접근제어를 위한 네트워크 장치와 시스템 및 그 방법 {Network apparatus and system for access protection in ID based network, and method controlling access}
본 발명은 네트워크 보안기술에 관한 것으로, 보다 상세하게는 네트워크 접근제어 기술에 관한 것이다.
아이피(IP, 이하 IP라 칭함)로 이뤄진 네트워크에서는 서비스를 제어하기 위해 소스 IP를 기반으로 또는 특정 포트까지를 기반으로 서비스 가입정보에 따라 서비스를 제공한다. 그러나 이미지, 비디오, 웹 페이지 등과 같은 콘텐트 각각에 식별자(ID)를 부여하고 제어하는 정보 중심 네트워크(Information-Centric Network, ICN)나, 식별자 네트워크(IDNet)처럼 식별자(Identifier)와 LOC(locator)가 분리되는 미래 인터넷에 이를 적용하기는 어렵다.
일 실시 예에 따라, 식별자/위치자 분리 네트워크에서의 접근제어를 위한 네트워크 장치와 시스템 및 그 방법을 제안한다.
일 실시 예에 따른 네트워크 장치는, 식별자를 이용하여 식별자와 위치자가 분리된 네트워크에 연결되는 통신장치 간의 패킷 송수신을 처리하는 통신부와, 소스 식별자에 대한 네트워크 진입 및 소스 식별자의 목적지 식별자에 대한 접근권한을 확인하여 통신부를 통한 패킷 송수신을 제어하는 프로세서를 포함한다.
프로세서는 목적지 식별자에 대한 접근권한이 없는 소스 식별자는 목적지 식별자에 접근할 수 없도록 차단할 수 있다. 프로세서는 소스 식별자의 신뢰등급에 따라 네트워크에 식별자를 등록하는 것을 차별화할 수 있다. 프로세서는 소스 식별자의 신뢰등급에 따라 목적지 식별자에 접근하는 것을 차별화할 수 있다.
프로세서는 네트워크 연결된 보안서버의 보안정책에 따라 소스 식별자의 네트워크 진입 및 소스 식별자의 목적지 식별자에 대한 접근을 통제할 수 있다. 이때, 프로세서는 통신부를 통해 소스 식별자를 기반으로 한 패킷을 수신하면, 통신부를 통해 식별자에 대한 보안정책을 보안서버에 문의하여 보안정책을 수신하고, 수신된 보안정책에 따라 소스 식별자의 네트워크 진입 및 목적지 식별자에 대한 접근을 통제할 수 있다.
프로세서는 소스 식별자의 애플리케이션이나 콘텐트 유형 및 목적지 식별자의 애플리케이션 또는 콘텐트 유형 중 적어도 하나에 따라 소스 식별자의 네트워크 진입 및 소스 식별자의 목적지 식별자에 대한 접근을 통제할 수 있다. 프로세서는 소스 식별자의 네트워크 진입이 차단되거나 목적지 식별자에 대한 접근이 차단되면, 이를 통신부를 통해 소스 식별자의 통신장치에 통보할 수 있다.
프로세서는 소스 식별자의 네트워크 진입 및 목적지 식별자에 대한 접근이 승인되면, 소스 식별자에서 목적지 식별자로의 전달경로 설정을 위해, 식별자 위치자 매핑 시스템에 목적지 식별자와 매핑되는 위치자 정보를 요청하여 수신하고 수신된 위치자 정보를 이용하여 포워딩 테이블을 생성 또는 갱신하고 패킷 송수신을 처리할 수 있다. 이때, 프로세서는 식별자 위치자 매핑 시스템으로부터 위치자 없음을 수신하면, 이를 소스 식별자의 통신장치에 통보할 수 있다.
다른 실시 예에 따른 식별자와 위치자가 분리된 네트워크 시스템은, 고유의 식별자를 가지는 적어도 하나의 통신장치와, 식별자와 위치자를 매핑하여 관리하는 식별자 위치자 매핑 시스템과, 식별자에 대한 보안정책을 가지는 보안서버와, 보안서버에 보안정책을 문의하여 소스 식별자의 네트워크 진입 및 목적지 식별자에 대한 접근을 제어하고 식별자 위치자 매핑 시스템을 이용하여 소스 식별자에서 목적지 식별자로의 전달경로를 설정하는 네트워크 장치를 포함한다.
또 다른 실시 예에 따른 네트워크 접근 제어방법은, 소스 식별자를 기반으로 하여 식별자와 위치자가 분리된 네트워크에 접근하고자 하는 소스 식별자의 통신장치로부터 패킷을 수신하는 단계와, 보안정책에 따라 소스 식별자의 네트워크 진입 및 목적지 식별자에 대한 접근을 제어하는 단계를 포함한다.
접근을 제어하는 단계에서, 목적지 식별자에 대한 접근권한이 없는 소스 식별자는 목적지 식별자에 접근할 수 없도록 차단할 수 있다. 접근을 제어하는 단계에서, 소스 식별자의 신뢰등급에 따라 네트워크에 식별자를 등록하는 것을 차별화할 수 있다. 접근을 제어하는 단계에서, 소스 식별자의 신뢰등급에 따라 목적지 식별자에 접근하는 것을 차별화할 수 있다. 접근을 제어하는 단계에서, 소스 식별자의 애플리케이션이나 콘텐트 유형 및 목적지 식별자의 애플리케이션 또는 콘텐트 유형 중 적어도 하나에 따라 소스 식별자의 네트워크 진입 및 소스 식별자의 목적지 식별자에 대한 접근을 통제할 수 있다. 접근을 제어하는 단계는, 소스 식별자에 대한 보안정책을 보안서버에 문의하여 보안정책을 수신하는 단계와, 수신된 보안정책에 따라 소스 식별자의 네트워크 진입 및 목적지 식별자에 대한 접근을 통제하는 단계를 포함할 수 있다.
접근 제어방법은 소스 식별자의 네트워크 진입이 차단되거나 목적지 식별자에 대한 접근이 차단되면, 이를 소스 식별자의 통신장치에 통보하는 단계를 더 포함할 수 있다. 접근 제어방법은 소스 식별자의 네트워크 진입 및 목적지 식별자에 대한 접근이 승인되면, 소스 식별자에서 목적지 식별자로의 전달경로 설정을 위해, 식별자 위치자 매핑 시스템에 목적지 식별자와 매핑되는 위치자 정보를 요청하여 수신하는 단계와, 수신된 위치자 정보를 이용하여 포워딩 테이블을 생성 또는 갱신하고 패킷 송수신을 처리하는 단계를 더 포함할 수 있다. 접근 제어방법은 식별자 위치자 매핑 시스템으로부터 목적지 식별자와 매핑되는 위치자 정보가 없음을 수신하면, 이를 소스 식별자의 통신장치에 통보하는 단계를 더 포함할 수 있다.
식별자와 위치자가 분리된 네트워크에서, 신뢰가 없는 식별자를 대상으로 네트워크 진입을 승인하지 않기 때문에, 신뢰할 수 있는 네트워크를 구성할 수 있다. 또한, 목적지 식별자에게 승인받지 않은 소스 식별자의 접근을 차단하기 때문에 데이터 관리에도 이점이 있다.
나아가, 애플리케이션 또는 콘텐트에 대해서 관계자 외의 접근을 근본적으로 차단을 할 수 있다. 또한, 무료 콘텐트와 유료 콘텐트에 대한 기본적인 접근을 차단함에 따라, 신뢰할 수 있는 네트워크를 구성할 수 있다. 나아가, 소스 식별자에 대한 근본적인 차단 또는 신뢰등급을 이용하여 목적지 식별자에 대한 접근을 승인함에 따라 유연한 네트워크를 구성할 수 있다.
도 1은 본 발명의 일 실시 예에 따른 식별자/위치자 분리 네트워크 시스템의 구성도,
도 2는 본 발명의 일 실시 예에 따른 식별자/위치자 분리 네트워크 기반 네트워크 장치의 구성도,
도 3은 본 발명의 일 실시 예에 따른 식별자를 기반으로 한 네트워크 장치의 접근 제어방법을 도시한 흐름도이다.
이하에서는 첨부한 도면을 참조하여 본 발명의 실시 예들을 상세히 설명한다. 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시 예에 따른 식별자/위치자 분리 네트워크 시스템의 구성도이다.
도 1을 참조하면, 식별자/위치자 분리 네트워크 시스템은 식별자/위치자 분리 네트워크(이하 '네트워크'라 칭함)(1)와, 네트워크(1)에 유무선으로 연결된 적어도 하나의 통신장치(2,3,4,5)와, 식별자 위치자 매핑 시스템(Identifier to Locator Mapping System: ILMS, 이하 ILMS라 칭함)(6)과, 보안서버(7)를 포함한다.
식별자(Identifier: ID, 이하 ID라 칭함)와 위치자(locator: LOC, 이하 LOC라 칭함)가 분리된 네트워크(1)는 ID 네트워크(IDnet, 이하 IDnet이라 칭함)일 수 있다. IDnet은 통신장치를 식별하는 ID 및 통신장치의 위치를 나타내는 LOC의 역할을 동시에 수행하는 아이피 주소(IP address)를 각 통신장치(2,3,4,5)에 할당하지 않는다. 도 1에 도시한 바와 같이, 통신장치들(2,3,4,5)은 LOC 정보를 포함하지 않으며, 각 통신장치(2,3,4,5)의 식별에 사용되는 ID 정보(ID_1,ID_2,ID_3,ID_4)를 포함한다.
식별자/위치자 분리 환경을 제공하는 IDNet은 다음과 같은 특징이 있다. 모든 애플리케이션이 일단 네트워크 버스에 연결되면 LOC에 독립적인 네트워크 전체에서 유일한 ID로 상호 간에 통신할 수 있다. 기반 네트워크는 다른 종류의 네트워크와 서로 협력하는 자동화된 네트워크 세그먼트로 구성된다. 도메인이라고 하는 네트워크 세그먼트는 부모-자식(parent-child), 동료(peers) 관계를 이용하여 더 큰 네트워크를 구성할 수 있다. 구조적으로 구조화된 도메인 상에서 확장 가능하고 효과적인 라우팅과 포워딩 메커니즘이 제공된다. ID와 LOC의 연결은 ILMS(6)를 통해서 수행된다.
각 통신장치(2,3,4,5)는 애플리케이션을 통해 네트워크(1)에 진입하여 패킷을 송수신한다. 애플리케이션은 예를 들어, 도 1에 도시된 바와 같이 웹 브라우저(20), 채팅 프로그램(chatter)(40,50) 등일 수 있으나, 이에 한정되지 않는다. ID 기반 통신장치 간 패킷 송수신 예를 들면, 소스 ID를 가진 제1 통신장치(2)가 웹 브라우저(20)를 통해 네트워크(1)에 목적지 ID의 웹 페이지를 요청하면, 네트워크(1)가 웹 페이지 요청을 목적지 ID를 가진 제2 통신장치(3)에 전달한다. 제2 통신장치(3)가 웹 페이지(30)를 검색하여 이를 네트워크(1)에 제공하면, 네트워크(1)는 웹 페이지(30)를 제1 통신장치(2)에 전달하고, 제1 통신장치(2)는 웹 브라우저(20)를 통해 웹 페이지(30)를 디스플레이한다. 제1 통신장치(2)의 사용자가 웹 브라우저(20)를 통해 본인 ID로 로그인하면 사용자의 ID가 소스 ID가 되고, URL로 사용되어 수신하고자 하는 웹 페이지 ID가 목적지 ID가 될 수 있다.
본 발명은 ID/LOC 분리 네트워크에서 ID를 사용하여 통신하고자 하는 통신장치의 접근을 제어하는 보안기술에 관한 것이다. 네트워크(1)는 소스 ID를 이용해서 네트워크(1)에 진입하는 사용자가 네트워크(1)에 진입해도 되는 사용자 ID인지 여부를 확인하고, 목적지 ID에 대한 접근권한이 있는 ID인지를 확인하여 네트워크 진입을 승인할 수 있다. 이때, 권한이 없는 소스 ID는 목적지 ID를 가져올 수 없다.
보안검색을 위해, ILMS(6)와 유사한 보안서버(7)를 이용할 수 있다. 보안서버(7)는 ILMS(6) 내에 위치할 수 있고, 도 1에 도시된 바와 같이 ILMS(6)와는 별도로 분리될 수도 있다. 보안서버(7)는 ID에 대한 보안정책을 가진다. 보안정책은 예를 들어, 소스 ID의 신뢰등급에 따라 소스 ID가 네트워크에 대한 ID 등록제한 정책, 소스 ID의 신뢰등급에 따라 목적지 ID에 대한 접근제한 정책, 소스 ID의 애플리케이션이나 콘텐트 유형에 따라 소스 ID의 네트워크 진입 및 소스 ID의 목적지 ID에 대한 접근제한 정책, 목적지 ID의 애플리케이션 또는 콘텐트 유형에 따라 소스 ID의 네트워크 진입 및 소스 ID의 목적지 ID에 대한 접근제한 정책일 수 있다.
소스 ID는 신뢰등급을 가질 수 있다. 이때, 소스 ID의 신뢰등급에 따라서 네트워크(1)에 ID를 등록할 수 있고, 접근 가능한 목적지 ID를 구별할 수 있다. 로컬 캐싱을 한 ID를 대상으로 네트워크(1)에 등록할 수 있는 권한이 있어야 ID를 등록 가능하다. ID를 등록한 경우, 해당 통신장치는 ID 정보 제공자가 될 수 있다. 보안서버(7)의 ID에 대한 보안정책에 따라서 정보 제공자는 유료 또는 무료로 정보를 제공할 수 있다. 소스 ID가 네트워크(1)에 진입 가능해야 네트워크(1)를 이용할 수 있고, 목적지 ID에 대해 접근할 수 있다. 목적지 ID도 애플리케이션 또는 콘텐트 유형에 따라서 비즈니스 목적 또는 개인, 특정 집단의 목적에 따라 접근권한을 부여받을 수 있다.
이하, 보안서버(7)를 이용한 소스 ID의 접근 제어방법에 대해 구체적으로 후술한다. 보안서버(7)는 소스 ID의 네트워크 진입 여부와 소스 ID가 목적지 ID에 대한 접근권한 여부에 대한 정보를 가지고 있으며, 이를 네트워크(1)에 제공한다. 예를 들어, 보안서버(7)는 ID 사용자가 특정 음악/비디오 파일을 재생하고자 할 때, 무료 배포가 아닌 음악/비디오를 네트워크(1)에 요청하면 이를 거절할 수 있다. 즉, 목적지 ID에 접근할 수 있는 소스 ID를 설정할 수 있다. 그래서 목적지 ID에 접근권한이 없는 소스 ID는 목적지 ID에 접근할 수 없다. 비즈니스 용도인 것은 비용을 지불하면 접근을 허락하고, 개인적인 용도 또는 정부/회사 등 관리적인 용도인 것은 관련자만 접근을 허락할 수 있다
ID의 캐싱이 허락되면 물론 로컬 캐싱은 가능하겠지만, 네트워크(1)는 ID 사용자가 ID 정보 제공자로서 네트워크(1)에 ID를 등록하는 것을 차단할 수 있다. 최초의 ID 등록자도 ILMS(6)와 보안서버(7)를 이용하기 때문에 개인의 신뢰등급에 따라서 ID를 등록할 수 있다. 네트워크(1)는 소스 ID 사용자의 신뢰등급에 따라서 목적지 ID에 접근을 제어할 수 있다. 예를 들어, 신뢰하는 소스 ID 사용자에게만 목적지 ID에 대한 접근을 승인할 수 있다. 이에 따라 신뢰하는 ID 사용자 간에 통신하는 네트워크를 구성할 수 있다.
도 2는 본 발명의 일 실시 예에 따른 ID/LOC 분리 네트워크 기반 네트워크 장치의 구성도이다.
도 2를 참조하면, 네트워크 장치(10)는 가입자 단에 위치하는 게이트웨이일 수 있다. 일 실시 예에 따른 네트워크 장치(10)는 프로세서(100), 통신부(110) 및 메모리(120)를 포함한다.
통신부(110)는 ID를 이용하여 네트워크에 연결된 통신장치(200,210) 간의 패킷 송수신을 처리한다. 프로세서(100)는 소스 ID를 가진 소스 통신장치(200)의 네트워크 진입을 필터링하고 소스 ID가 목적지 ID에 대한 접근권한을 확인하여 통신부(110)를 통한 패킷 송수신을 제어한다. 메모리(120)에는 프로세서(100)의 동작 수행을 위한 정보가 저장되며, 포워딩 테이블과 라우팅 테이블이 저장될 수 있다.
프로세서(100)는 목적지 ID에 대한 접근권한이 없는 소스 ID는 목적지 ID에 접근할 수 없도록 차단할 수 있다. 프로세서(100)는 소스 ID의 신뢰등급에 따라 네트워크에 ID를 등록하는 것을 차별화하거나, 목적지 ID에 접근하는 것을 차별화할 수 있다.
프로세서(100)는 네트워크 연결된 보안서버(7)의 보안정책에 따라 소스 ID의 네트워크 진입 및 소스 ID의 목적지 ID에 대한 접근을 통제할 수 있다. 예를 들어, 프로세서(100)는 통신부(110)를 통해 소스 ID를 기반으로 한 패킷을 수신하면, 통신부(110)를 통해 ID에 대한 보안정책을 보안서버(7)에 문의하여 보안정책을 수신하고, 수신된 보안정책에 따라 소스 ID의 네트워크 진입 및 목적지 ID에 대한 접근을 통제한다. 프로세서(100)는 소스 ID의 애플리케이션이나 콘텐트 유형 및 목적지 ID의 애플리케이션 또는 콘텐트 유형 중 적어도 하나에 따라 소스 ID의 네트워크 진입 및 소스 ID의 목적지 ID에 대한 접근을 통제할 수 있다.
도 3은 본 발명의 일 실시 예에 따른 ID를 기반으로 한 네트워크 장치의 접근 제어방법을 도시한 흐름도이다.
도 2 및 도 3을 참조하면, 소스 ID를 기반으로 하여 소스 통신장치(200)가 애플리케이션을 통해 네트워크에 진입하여 패킷을 송수신하고자 할 때, 네트워크 장치(10)는 소스 통신장치(200)로부터 목적지 통신장치(210)로 전송되는 패킷을 수신(300)하여, 소스 통신장치(200)에 대한 보안을 검색한다(310). 예를 들어, 네트워크 장치(10)는 소스 ID를 네트워크 통과시켜도 되는 것인가와, 소스 ID가 목적지 ID에 대한 접근권한이 있는지를 보안서버(7)에 문의하여 보안정책을 수신한다.
이어서, 네트워크 장치(10)는 보안검색 결과가 정상인지 여부를 확인한다(320). 보안검색 결과, 문제가 있다면 네트워크 장치(10)는 해당하는 애플리케이션 패킷을 필터링한다. 그리고 오류가 발생하는 모든 정보를 해당 애플리케이션에 통보한다. 오류는 세 가지 경우가 있을 수 있다. 예를 들어, 소스 ID가 네트워크에 접근할 수 없는 경우와, 소스 ID가 목적지 ID에 접근할 수 없는 경우와, 전술한 두 가지 모두에 해당하는 경우이다.
보안검색 결과, 성공적이면 네트워크 장치(10)는 목적지 ID에 대한 전달경로(path) 설정을 위해, ILMS(6)에 목적지 ID와 매핑되는 LOC 정보를 요청(330)하고, ILMS(6)로부터 수신한 LOC 정보가 있는지 여부를 확인한다(340). LOC 없음을 ILMS(6)로부터 전달받으면, 이를 ID로 구성된 애플리케이션에 통보하여, 애플리케이션이 네트워크에 접근하지 못하는 이유에 대해서 명확한 정보를 수신하여 처리할 수 있도록 한다. ILMS(6)로부터 LOC 정보를 수신하는 경우, 포워딩 테이블을 생성 또는 갱신하고 패킷을 다음 홉으로 전달하며 정상적인 패킷 전송을 수행한다(350).
전술한 바에 따르면, ID와 LOC가 분리된 네트워크에서, 신뢰가 없는 ID를 대상으로 네트워크 진입을 승인하지 않기 때문에, 신뢰할 수 있는 네트워크를 구성할 수 있고, 목적지 식별자에도 승인받지 않은 소스 ID의 접근을 차단하기 때문에 데이터 관리에도 이점이 있다. 나아가, 애플리케이션 또는 콘텐트에 대해서 관계자 외의 접근을 근본적으로 차단을 할 수 있다. 또한, 무료 콘텐트와 유료 콘텐트에 대한 기본적인 접근을 차단함에 따라, 신뢰할 수 있는 네트워크를 구성할 수 있다. 나아가, 소스 ID에 대한 근본적인 차단 또는 신뢰등급을 이용하여 목적지 ID에 대한 접근을 승인함에 따라 유연한 네트워크를 구성할 수 있다.
이제까지 본 발명에 대하여 그 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (20)

  1. 식별자를 이용하여 식별자와 위치자가 분리된 네트워크에 연결되는 통신장치 간의 패킷 송수신을 처리하는 통신부; 및
    소스 식별자에 대한 네트워크 진입 및 소스 식별자의 목적지 식별자에 대한 접근권한을 확인하여 상기 통신부를 통한 패킷 송수신을 제어하는 프로세서;
    를 포함하는 네트워크 장치.
  2. 제 1 항에 있어서, 상기 프로세서는
    목적지 식별자에 대한 접근권한이 없는 소스 식별자는 목적지 식별자에 접근할 수 없도록 차단하는 것을 특징으로 하는 네트워크 장치.
  3. 제 1 항에 있어서, 상기 프로세서는
    소스 식별자의 신뢰등급에 따라 네트워크에 식별자를 등록하는 것을 차별화하는 것을 특징으로 하는 네트워크 장치.
  4. 제 1 항에 있어서, 상기 프로세서는
    소스 식별자의 신뢰등급에 따라 목적지 식별자에 접근하는 것을 차별화하는 것을 특징으로 하는 네트워크 장치.
  5. 제 1 항에 있어서, 상기 프로세서는
    네트워크 연결된 보안서버의 보안정책에 따라 소스 식별자의 네트워크 진입 및 소스 식별자의 목적지 식별자에 대한 접근을 통제하는 것을 특징으로 하는 네트워크 장치.
  6. 제 5 항에 있어서, 상기 프로세서는
    상기 통신부를 통해 소스 식별자를 기반으로 한 패킷을 수신하면, 상기 통신부를 통해 식별자에 대한 보안정책을 보안서버에 문의하여 보안정책을 수신하고, 수신된 보안정책에 따라 소스 식별자의 네트워크 진입 및 목적지 식별자에 대한 접근을 통제하는 것을 특징으로 하는 네트워크 장치.
  7. 제 1 항에 있어서, 상기 프로세서는
    소스 식별자의 애플리케이션이나 콘텐트 유형 및 목적지 식별자의 애플리케이션 또는 콘텐트 유형 중 적어도 하나에 따라 소스 식별자의 네트워크 진입 및 소스 식별자의 목적지 식별자에 대한 접근을 통제하는 것을 특징으로 하는 네트워크 장치.
  8. 제 1 항에 있어서, 상기 프로세서는
    소스 식별자의 네트워크 진입이 차단되거나 목적지 식별자에 대한 접근이 차단되면, 이를 상기 통신부를 통해 소스 식별자의 통신장치에 통보하는 것을 특징으로 하는 네트워크 장치.
  9. 제 1 항에 있어서, 상기 프로세서는
    소스 식별자의 네트워크 진입 및 목적지 식별자에 대한 접근이 승인되면, 소스 식별자에서 목적지 식별자로의 전달경로 설정을 위해, 식별자 위치자 매핑 시스템에 목적지 식별자와 매핑되는 위치자 정보를 요청하여 수신하고 수신된 위치자 정보를 이용하여 포워딩 테이블을 생성 또는 갱신하고 패킷 송수신을 처리하는 것을 특징으로 하는 네트워크 장치.
  10. 제 9 항에 있어서, 상기 프로세서는
    상기 식별자 위치자 매핑 시스템으로부터 위치자 없음을 수신하면, 이를 소스 식별자의 통신장치에 통보하는 것을 특징으로 하는 네트워크 장치.
  11. 고유의 식별자를 가지는 적어도 하나의 통신장치;
    식별자와 위치자를 매핑하여 관리하는 식별자 위치자 매핑 시스템;
    식별자에 대한 보안정책을 가지는 보안서버; 및
    상기 보안서버에 보안정책을 문의하여 소스 식별자의 네트워크 진입 및 목적지 식별자에 대한 접근을 제어하고, 상기 식별자 위치자 매핑 시스템을 이용하여 소스 식별자에서 목적지 식별자로의 전달경로를 설정하는 네트워크 장치;
    를 포함하는 것을 특징으로 하는 식별자와 위치자가 분리된 네트워크 시스템.
  12. 소스 식별자를 기반으로 하여 식별자와 위치자가 분리된 네트워크에 접근하고자 하는 소스 식별자의 통신장치로부터 패킷을 수신하는 단계; 및
    보안정책에 따라 소스 식별자의 네트워크 진입 및 목적지 식별자에 대한 접근을 제어하는 단계;
    를 포함하는 것을 특징으로 하는 네트워크 접근 제어방법.
  13. 제 12 항에 있어서, 상기 접근을 제어하는 단계는
    목적지 식별자에 대한 접근권한이 없는 소스 식별자는 목적지 식별자에 접근할 수 없도록 차단하는 것을 특징으로 하는 네트워크 접근 제어방법.
  14. 제 12 항에 있어서, 상기 접근을 제어하는 단계는
    소스 식별자의 신뢰등급에 따라 네트워크에 식별자를 등록하는 것을 차별화하는 것을 특징으로 하는 네트워크 접근 제어방법.
  15. 제 12 항에 있어서, 상기 접근을 제어하는 단계는
    소스 식별자의 신뢰등급에 따라 목적지 식별자에 접근하는 것을 차별화하는 것을 특징으로 하는 네트워크 접근 제어방법.
  16. 제 12 항에 있어서, 상기 접근을 제어하는 단계는
    소스 식별자의 애플리케이션이나 콘텐트 유형 및 목적지 식별자의 애플리케이션 또는 콘텐트 유형 중 적어도 하나에 따라 소스 식별자의 네트워크 진입 및 소스 식별자의 목적지 식별자에 대한 접근을 통제하는 것을 특징으로 하는 네트워크 접근 제어방법.
  17. 제 12 항에 있어서, 상기 접근을 제어하는 단계는
    소스 식별자에 대한 보안정책을 보안서버에 문의하여 보안정책을 수신하는 단계; 및
    수신된 보안정책에 따라 소스 식별자의 네트워크 진입 및 목적지 식별자에 대한 접근을 통제하는 단계;
    를 포함하는 것을 특징으로 하는 네트워크 접근 제어방법.
  18. 제 12 항에 있어서, 상기 접근 제어방법은
    소스 식별자의 네트워크 진입이 차단되거나 목적지 식별자에 대한 접근이 차단되면, 이를 소스 식별자의 통신장치에 통보하는 단계;
    를 더 포함하는 것을 특징으로 하는 네트워크 접근 제어방법.
  19. 제 12 항에 있어서, 상기 접근 제어방법은
    소스 식별자의 네트워크 진입 및 목적지 식별자에 대한 접근이 승인되면, 소스 식별자에서 목적지 식별자로의 전달경로 설정을 위해, 식별자 위치자 매핑 시스템에 목적지 식별자와 매핑되는 위치자 정보를 요청하여 수신하는 단계; 및
    수신된 위치자 정보를 이용하여 포워딩 테이블을 생성 또는 갱신하고 패킷 송수신을 처리하는 단계;
    를 더 포함하는 것을 특징으로 하는 네트워크 접근 제어방법.
  20. 제 19 항에 있어서, 상기 접근 제어방법은
    상기 식별자 위치자 매핑 시스템으로부터 목적지 식별자와 매핑되는 위치자 정보가 없음을 수신하면, 이를 소스 식별자의 통신장치에 통보하는 단계;
    를 더 포함하는 것을 특징으로 하는 네트워크 접근 제어방법.
KR1020160019239A 2016-02-18 2016-02-18 식별자와 위치자가 분리된 네트워크에서의 접근제어를 위한 네트워크 장치와 시스템 및 그 방법 KR20170097457A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160019239A KR20170097457A (ko) 2016-02-18 2016-02-18 식별자와 위치자가 분리된 네트워크에서의 접근제어를 위한 네트워크 장치와 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160019239A KR20170097457A (ko) 2016-02-18 2016-02-18 식별자와 위치자가 분리된 네트워크에서의 접근제어를 위한 네트워크 장치와 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20170097457A true KR20170097457A (ko) 2017-08-28

Family

ID=59759626

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160019239A KR20170097457A (ko) 2016-02-18 2016-02-18 식별자와 위치자가 분리된 네트워크에서의 접근제어를 위한 네트워크 장치와 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR20170097457A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10715998B2 (en) 2018-09-13 2020-07-14 Korea Advanced Institute Of Science And Technology Method and apparatus for simultaneously providing mobility management and privacy protection

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10715998B2 (en) 2018-09-13 2020-07-14 Korea Advanced Institute Of Science And Technology Method and apparatus for simultaneously providing mobility management and privacy protection

Similar Documents

Publication Publication Date Title
US10785037B2 (en) Managing secure content in a content delivery network
US8122493B2 (en) Firewall based on domain names
EP1457018B1 (en) Access control management
US8073936B2 (en) Providing support for responding to location protocol queries within a network node
JP3557056B2 (ja) パケット検査装置、移動計算機装置及びパケット転送方法
RU2289886C2 (ru) Способ, шлюз и система для передачи данных между устройством в сети общего пользования и устройством во внутренней сети
US6237037B1 (en) Method and arrangement relating to communications systems
US20170034174A1 (en) Method for providing access to a web server
KR100789123B1 (ko) 컴퓨터 네트워크 자원들의 비허가된 액세스 방지
JPH10111848A (ja) 照会要求を向けなおすことによってドメインネームシステムの個人情報へのアクセスを制限する方法と装置
JP2006262532A5 (ko)
US20170063929A1 (en) Methods, apparatus and systems for processing service requests
JP2000174807A (ja) ストリ―ムにおけるマルチレベルセキュリティの属性パス方法、装置及びコンピュ―タプログラム製品
MX2011003223A (es) Acceso al proveedor de servicio.
US9973590B2 (en) User identity differentiated DNS resolution
US20040158643A1 (en) Network control method and equipment
JP2004062417A (ja) 認証サーバ装置、サーバ装置、およびゲートウェイ装置
US20100023620A1 (en) Access controller
JP3590394B2 (ja) パケット転送装置、パケット転送方法およびプログラム
JPH10154118A (ja) ネットワーク通信システム
KR20170097457A (ko) 식별자와 위치자가 분리된 네트워크에서의 접근제어를 위한 네트워크 장치와 시스템 및 그 방법
US7715326B2 (en) Webserver alternative for increased security
CN111600969B (zh) 域名寻址方法、系统、域名服务器、电子设备及存储介质
US20190281045A1 (en) Control Of Access To Contents Which Can Be Retrieved Via A Data Network
JP2000330939A (ja) 通信網におけるハイパーテキストアクセス制御方法