KR20190049170A - Apparatus and method for managing security connection in communication network - Google Patents

Apparatus and method for managing security connection in communication network Download PDF

Info

Publication number
KR20190049170A
KR20190049170A KR1020170144732A KR20170144732A KR20190049170A KR 20190049170 A KR20190049170 A KR 20190049170A KR 1020170144732 A KR1020170144732 A KR 1020170144732A KR 20170144732 A KR20170144732 A KR 20170144732A KR 20190049170 A KR20190049170 A KR 20190049170A
Authority
KR
South Korea
Prior art keywords
gateway
terminal
connection
information
security
Prior art date
Application number
KR1020170144732A
Other languages
Korean (ko)
Other versions
KR102144884B1 (en
Inventor
유윤식
전기철
정부금
이형규
박혜숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170144732A priority Critical patent/KR102144884B1/en
Publication of KR20190049170A publication Critical patent/KR20190049170A/en
Application granted granted Critical
Publication of KR102144884B1 publication Critical patent/KR102144884B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Disclosed in an embodiment of the present invention is an apparatus for managing the connection between a terminal and a gateway in a communications network and a method thereof. A communication node for managing the connection between the terminal and the gateway in the communications network comprises: a processor; and a memory in which at least one command is stored to be executed by the processor. At least one command is executed to: receive a signal from the terminal requesting security connection to the gateway; determine the security of the connection based on pre-stored terminal security connection information and gateway security connection information; and transmit a security connection activation request signal to the terminal and the gateway. The communication node manages and monitors the security connection information of the terminal and the gateway in a lump in the communications network, thereby improving efficiency and convenience in the management of a secure connection.

Description

통신 네트워크에서 보안 연결을 관리하기 위한 장치 및 방법{APPARATUS AND METHOD FOR MANAGING SECURITY CONNECTION IN COMMUNICATION NETWORK}[0001] APPARATUS AND METHOD FOR MANAGING SECURITY CONNECTION IN COMMUNICATION NETWORK [0002]

본 발명은 통신 네트워크 기술에 관한 것으로, 더욱 상세하게는 통신 네트워크에서 보안 연결을 관리하기 위한 장치 및 방법에 관한 것이다.The present invention relates to communication network technology, and more particularly, to an apparatus and method for managing a secure connection in a communication network.

최근 클라우드(cloud) 시스템의 발전으로 사설 및 공공 클라우드 서비스 시스템의 구축 및 운용이 크게 증가하고 있다. 클라우드 시스템이란, 인터넷 기술을 활용하여 '가상화된 정보통신 자원'을 서비스로 제공하는 시스템을 의미한다. 사용자는 소프트웨어, 스토리지, 서버, 네트워크 등의 정보통신 자원을 필요한 만큼 빌려서 사용할 수 있다. 사용자는 서비스 부하에 따라서 실시간 확장성을 지원받을 수 있다. 또한, 사용자는 사용한 만큼 비용을 지불할 수 있다.With the recent development of cloud systems, the construction and operation of private and public cloud service systems have increased significantly. A cloud system means a system that provides 'virtualized information communication resources' as a service by utilizing Internet technology. Users can borrow and use information and communications resources such as software, storage, servers, and networks as much as necessary. Users can receive real-time scalability according to service load. In addition, the user can pay as much as he or she uses.

클라우드 시스템은 공통의 물리적인 시스템 기반 위에 다양한 서비스를 탑재하여 사용자에게 서비스를 제공하는 형태로 운용되고 있다. 따라서, 클라우드 시스템을 제공하는 사업자는 다양한 서비스에 대한 관리와 사용자 및 단말의 접근제어(access control)를 위해 소프트웨어적으로 동작하는 네트워크 차원의 접근제어 방식을 필요로 한다.The cloud system is operated in a form of providing services to users by loading various services on a common physical system base. Accordingly, a provider providing a cloud system needs a network-level access control method that operates in software for managing various services and for access control of users and terminals.

하지만, 기존의 네트워크 접근제어 방식은 각각의 게이트웨이 또는 각각의 VPN(virtual private network) 장비에 대한 접근제어를 위한 연결 설정만 가능하다. 또한, 기존의 네트워크 접근제어 방식은 각각의 게이트웨이 또는 각각의 VPN 장비에 대한 모니터링 기능만 수행할 수 있다. 또한, 기존의 네트워크 접근제어 방식은 네트워크에 접근하는 노드들이 상호간에 보안 연결을 직접 설정하므로 보호를 위한 노드가 악의적인 공격에 노출될 수 있는 문제점이 있다.However, the conventional network access control method is only capable of establishing a connection for access control to each gateway or each virtual private network (VPN) device. In addition, the existing network access control method can perform only the monitoring function for each gateway or each VPN device. In addition, the conventional network access control method has a problem in that a node for protection may be exposed to a malicious attack because the nodes accessing the network directly establish a security connection with each other.

상술한 문제점을 해결하기 위한 본 발명의 목적은 단말, 게이트웨이 및 서버간의 네트워크 접근제어를 위한 온디맨드(on demand) 방식의 동적 보안 연결 관리를 위한 장치 및 방법을 제공하는 것이다.SUMMARY OF THE INVENTION An object of the present invention is to provide an apparatus and method for on-demand dynamic security connection management for network access control between a terminal, a gateway and a server.

상술한 목적을 달성하기 위한 본 발명의 일 실시예는 통신 네트워크에서 단말과 게이트웨이 간의 연결을 관리하는 통신 노드를 제공한다. 상기 통신 노드는, 프로세서(processor); 및 상기 프로세서에 의해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)를 포함하며, 상기 적어도 하나의 명령은, 상기 단말로부터 상기 게이트웨이에 대한 보안 연결을 요청하는 신호를 수신하고; 기 저장된 단말 보안 연결 정보 및 게이트웨이 보안 연결 정보에 기초하여 보안 연결을 결정하고; 그리고 상기 단말 및 상기 게이트웨이로 보안 연결 활성화 요청 신호를 송신하도록 실행되된다. According to an aspect of the present invention, there is provided a communication node for managing a connection between a terminal and a gateway in a communication network. The communication node comprising: a processor; And a memory in which at least one instruction executed by the processor is stored, wherein the at least one instruction comprises: receiving a signal from the terminal requesting a secure connection to the gateway; Determining a security association based on the stored terminal security association information and the gateway security association information; And transmits a security association activation request signal to the terminal and the gateway.

상기 통신 노드에 있어서, 상기 단말 보안 연결 정보는, 상기 단말의 장비 정보에 기초하여 생성되고, 상기 게이트웨이 보안 연결 정보는 상기 게이트웨이의 장비 정보에 기초하여 생성될 수 있다.In the communication node, the terminal security connection information may be generated based on equipment information of the terminal, and the gateway security connection information may be generated based on equipment information of the gateway.

상기 통신 노드에 있어서, 상기 단말의 장비 정보는, 상기 단말의 식별자(identifier), 상기 단말의 인증 방법에 관한 정보, 상기 단말의 인터넷 프로토콜 주소, 상기 단말의 서브넷(subnet) 정보 중 적어도 하나를 포함하고, 상기 게이트웨이의 장비 정보는, 상기 게이트웨이의 식별자, 상기 게이트웨이의 인증 방법에 관한 정보, 상기 게이트웨이의 인터넷 프로토콜 주소, 상기 게이트웨이의 서브넷 정보 중 적어도 하나를 포함할 수 있다.In the communication node, the equipment information of the terminal includes at least one of an identifier of the terminal, information on the authentication method of the terminal, an internet protocol address of the terminal, and subnet information of the terminal And the device information of the gateway may include at least one of an identifier of the gateway, information on an authentication method of the gateway, an Internet Protocol address of the gateway, and subnet information of the gateway.

상기 통신 노드에 있어서, 상기 단말 보안 연결 정보는, 보안 연결 식별자, 상기 단말의 인터넷 프로토콜 주소, 상기 단말과 보안 연결 가능한 게이트웨이의 인터넷 프로토콜 주소를 포함하고, 상기 게이트웨이 보안 연결 정보는, 보안 연결 식별자, 상기 게이트웨이의 인터넷 프로토콜 주소, 상기 게이트웨이와 보안 연결 가능한 단말의 인터넷 프로토콜 주소를 포함할 수 있다.Wherein the terminal security association information includes a security association identifier, an internet protocol address of the terminal, and an internet protocol address of a gateway that can securely connect to the terminal, the gateway security association information includes a security association identifier, An internet protocol address of the gateway, and an internet protocol address of a terminal that can securely connect to the gateway.

상기 통신 노드에 있어서, 상기 적어도 하나의 명령은, 상기 단말로부터 상기 게이트웨이에 대한 보안 연결 해제를 요청하는 신호를 수신하고; 기 저장된 상기 단말 보안 연결 정보 및 상기 게이트웨이 보안 연결 목록에 기초하여, 보안 연결 비활성화 요청 신호를 생성하고; 그리고 상기 보안 연결 비활성화 요청 신호를 상기 단말 및 상기 게이트웨이로 송신하도록 더 실행될 수 있다.Wherein the at least one command comprises: receiving a signal from the terminal requesting to release a secure connection to the gateway; Generating a secure connection deactivation request signal based on the pre-stored terminal security connection information and the gateway security connection list; And transmit the secure connection deactivation request signal to the terminal and the gateway.

상기 통신 노드에 있어서, 상기 적어도 하나의 명령은, 상기 단말 보안 연결 정보 및 상기 게이트웨이 보안 연결 정보에 기초하여 상기 단말 및 상기 게이트웨이에 대한 그룹 보안 연결 정보를 생성하도록 더 실행될 수 있다.In the communication node, the at least one command may be further executed to generate group security association information for the terminal and the gateway based on the terminal security association information and the gateway security association information.

상기 통신 노드에 있어서, 상기 적어도 하나의 명령은, 상기 그룹 보안 연결 정보에 기초하여, 상기 그룹 보안 연결 정보에 대응되는 단말 및 게이트웨이로 그룹 보안 연결 활성화 요청 신호를 송신하도록 더 실행될 수 있다.In the communication node, the at least one command may be further executed to transmit a group security connection activation request signal to a terminal and a gateway corresponding to the group security connection information based on the group security connection information.

상기 통신 노드에 있어서, 상기 적어도 하나의 명령은, 상기 그룹 보안 연결 활성화 요청 신호에 따라 그룹 보안 연결된 단말 및 게이트웨이 중 적어도 하나가 연결 해제되는지 여부를 결정하고; 상기 그룹 보안 연결된 단말 및 게이트웨이 중 적어도 하나가 연결 해제될 경우, 상기 그룹 보안 연결된 단말 및 게이트웨이로 그룹 보안 연결 비활성화 요청 신호를 송신하도록 더 실행될 수 있다.Wherein the at least one command determines whether at least one of a group securely connected terminal and a gateway is disconnected according to the group secure connection activation request signal; When at least one of the group securely connected terminal and the gateway is disconnected, the terminal may further be configured to transmit a group security connection deactivation request signal to the group securely connected terminal and the gateway.

상술한 목적을 달성하기 위한 본 발명의 일 실시예는 통신 네트워크에서 단말과 게이트웨이 간의 연결을 관리하는 통신 노드의 동작 방법을 제공한다. 상기 통신 노드의 동작 방법은, 상기 단말로부터 상기 게이트웨이에 대한 보안 연결을 요청하는 신호를 수신하는 단계; 기 저장된 단말 보안 연결 정보 및 게이트웨이 보안 연결 정보에 기초하여 보안 연결을 결정하는 단계; 상기 단말 및 상기 게이트웨이로 보안 연결 활성화 요청 신호를 송신하는 단계;를 포함한다.According to an aspect of the present invention, there is provided an operation method of a communication node managing a connection between a terminal and a gateway in a communication network. The method comprising: receiving a signal from the terminal requesting a secure connection to the gateway; Determining a security association based on stored terminal security association information and gateway security association information; And transmitting a security association activation request signal to the terminal and the gateway.

상기 통신 노드의 동작 방법에 있어서, 상기 단말 보안 연결 정보는, 상기 단말의 장비 정보에 기초하여 생성되고, 상기 게이트웨이 보안 연결 정보는 상기 게이트웨이의 장비 정보에 기초하여 생성될 수 있다.In the operation method of the communication node, the terminal security connection information may be generated based on equipment information of the terminal, and the gateway security connection information may be generated based on equipment information of the gateway.

상기 통신 노드의 동작 방법에 있어서, 상기 단말의 장비 정보는, 상기 단말의 식별자(identifier), 상기 단말의 인증 방법에 관한 정보, 상기 단말의 인터넷 프로토콜 주소, 상기 단말의 서브넷(subnet) 정보 중 적어도 하나를 포함하고, 상기 게이트웨이의 장비 정보는, 상기 게이트웨이의 식별자, 상기 게이트웨이의 인증 방법에 관한 정보, 상기 게이트웨이의 인터넷 프로토콜 주소, 상기 게이트웨이의 서브넷 정보 중 적어도 하나를 포함할 수 있다.Wherein the apparatus information of the terminal includes at least one of an identifier of the terminal, information on the authentication method of the terminal, an Internet Protocol address of the terminal, and subnet information of the terminal And the device information of the gateway may include at least one of an identifier of the gateway, information on an authentication method of the gateway, an internet protocol address of the gateway, and subnet information of the gateway.

상기 통신 노드의 동작 방법에 있어서, 상기 단말 보안 연결 정보는, 보안 연결 식별자, 상기 단말의 인터넷 프로토콜 주소, 상기 단말과 보안 연결 가능한 게이트웨이의 인터넷 프로토콜 주소를 포함하고, 상기 게이트웨이 보안 연결 정보는, 보안 연결 식별자, 상기 게이트웨이의 인터넷 프로토콜 주소, 상기 게이트웨이와 보안 연결 가능한 단말의 인터넷 프로토콜 주소를 포함할 수 있다.Wherein the terminal security association information includes a security association identifier, an Internet Protocol address of the terminal, and an internet protocol address of a gateway that can securely connect to the terminal, A connection identifier, an internet protocol address of the gateway, and an internet protocol address of a terminal that can securely connect to the gateway.

상기 통신 노드의 동작 방법은, 상기 단말로부터 상기 게이트웨이에 대한 보안 연결 해제를 요청하는 신호를 수신하는 단계; 기 저장된 상기 단말 보안 연결 정보 및 상기 게이트웨이 보안 연결 목록에 기초하여, 보안 연결 비활성화 요청 신호를 생성하는 단계; 그리고 상기 보안 연결 비활성화 요청 신호를 상기 단말 및 상기 게이트웨이로 송신하는 단계;를 더 포함할 수 있다.The method comprising: receiving a signal from the terminal requesting to release a secure connection to the gateway; Generating a secure connection deactivation request signal based on the pre-stored terminal security connection information and the gateway security connection list; And transmitting the security association deactivation request signal to the terminal and the gateway.

상기 통신 노드의 동작 방법은, 상기 단말 보안 연결 정보 및 상기 게이트웨이 보안 연결 정보에 기초하여 상기 단말 및 상기 게이트웨이에 대한 그룹 보안 연결 정보를 생성하는 단계;를 더 포함할 수 있다.The method of operating the communication node may further include generating group security connection information for the terminal and the gateway based on the terminal security connection information and the gateway security connection information.

상기 통신 노드의 동작 방법은, 상기 그룹 보안 연결 정보에 기초하여, 상기 그룹 보안 연결 정보에 대응되는 단말 및 게이트웨이로 그룹 보안 연결 활성화 요청 신호를 송신하는 단계;를 더 포함할 수 있다.The method of operating the communication node may further include transmitting a group security connection activation request signal to a terminal and a gateway corresponding to the group security connection information based on the group security connection information.

상기 통신 노드의 동작 방법은, 상기 그룹 보안 연결 활성화 요청 신호에 따라 그룹 보안 연결된 단말 및 게이트웨이 중 적어도 하나가 연결 해제되는지 여부를 결정하는 단계; 그리고 상기 그룹 보안 연결된 단말 및 게이트웨이 중 적어도 하나가 연결 해제될 경우, 상기 그룹 보안 연결된 단말 및 게이트웨이로 그룹 보안 연결 비활성화 요청 신호를 송신하는 단계;를 더 포함할 수 있다.The method comprising: determining whether at least one of a terminal and a gateway connected to the group security connection is disconnected according to the group security connection activation request signal; And transmitting a group security connection deactivation request signal to the group securely connected terminal and the gateway when at least one of the group securely connected terminal and the gateway is disconnected.

상술한 목적을 달성하기 위한 본 발명의 일 실시예는 통신 노드를 제공한다. 상기 통신 노드는, 프로세서(processor); 및 상기 프로세서에 의해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)를 포함하며, 상기 적어도 하나의 명령은, 연결 관리 장치로 게이트웨이에 대한 보안 연결을 요청하는 신호를 송신하고; 상기 연결 관리 장치로부터 상기 통신 노드에 대한 인증이 완료될 경우, 상기 연결 관리 장치로부터 단말 보안 연결 정보를 수신하고; 상기 연결 관리 장치로부터 보안 연결 활성화 요청 신호를 수신하고; 그리고 상기 보안 연결 정보 및 상기 보안 연결 활성화 요청 신호에 기초하여 상기 게이트웨이와의 보안 연결을 활성화하도록 실행된다.In order to accomplish the above object, an embodiment of the present invention provides a communication node. The communication node comprising: a processor; And a memory in which at least one instruction executed by the processor is stored, wherein the at least one instruction is to send a signal to the connection management device requesting a secure connection to the gateway; Receiving terminal security association information from the connection management apparatus when the authentication of the communication node is completed from the connection management apparatus; Receiving a security association activation request signal from the connection management apparatus; And to activate a secure connection with the gateway based on the secure connection information and the secure connection activation request signal.

상기 통신 노드에 있어서, 상기 단말 보안 연결 정보는 상기 단말의 장비 정보에 기초하여 생성되고, 상기 단말의 장비 정보는, 상기 단말의 식별자(identifier), 상기 단말의 인증 방법에 관한 정보, 상기 단말의 인터넷 프로토콜 주소, 상기 단말의 서브넷(subnet) 정보 중 적어도 하나를 포함할 수 있다.In the communication node, the terminal security association information is generated based on equipment information of the terminal, and the equipment information of the terminal includes information on an identifier of the terminal, information on the authentication method of the terminal, An Internet Protocol address, and subnet information of the terminal.

상기 통신 노드에 있어서, 상기 단말 보안 연결 정보는, 보안 연결 식별자, 상기 단말의 인터넷 프로토콜 주소, 상기 단말과 보안 연결 가능한 게이트웨이의 인터넷 프로토콜 주소를 포함할 수 있다.In the communication node, the terminal security association information may include a security association identifier, an internet protocol address of the terminal, and an internet protocol address of a gateway that can securely connect to the terminal.

상기 통신 노드에 있어서, 상기 적어도 하나의 명령은, 상기 연결 관리 장치로 상기 게이트웨이에 대한 보안 연결 해제를 요청하는 신호를 송신하고; 상기 연결 관리 장치로부터 보안 연결 비활성화 요청 신호가 수신될 경우, 상기 단말 보안 연결 정보에 기초하여 상기 보안 연결을 비활성화하도록 더 실행될 수 있다.Wherein the at least one command is to send a signal to the connection management device requesting to release a secure connection to the gateway; When the secure connection deactivation request signal is received from the connection management apparatus, the secure connection deactivation unit may further be configured to deactivate the secure connection based on the terminal security connection information.

본 발명에 의하면, 연결 관리 장치는 통신 네트워크 내의 통신 노드들의 보안 연결 정보를 일괄적으로 관리 및 모니터링함으로써, 보안 연결 관리의 효율성 및 편리성을 증대시키는 효과가 있다.According to the present invention, the connection management apparatus collectively manages and monitors security connection information of communication nodes in a communication network, thereby enhancing the efficiency and convenience of security connection management.

또한, 연결 관리 장치는 단말의 연결 상태에 따라 게이트웨이의 보안 연결을 자동으로 제어함으로써, 게이트웨이에 대한 보안성을 증대시킬 수 있는 효과가 있다.In addition, the connection management apparatus automatically controls the security association of the gateway according to the connection state of the terminal, thereby enhancing the security of the gateway.

또한, 연결 관리 장치는 보안 연결된 복수개의 통신 노드들의 보안 연결 정보를 그룹핑(grouping)하여 관리함으로써, 통신 노드의 교체, 접근권한 변경 및 부하 분산 등의 통신 노드의 상태 변화에 따라 보안 연결을 유연하게 제어할 수 있는 효과가 있다.Also, the connection management apparatus groups and manages the security connection information of a plurality of securely connected communication nodes, thereby flexibly connecting the security connection according to the state change of the communication node, such as replacement of the communication node, change of the access right, There is an effect that can be controlled.

도 1은 제1 실시예에 따른 통신 네트워크를 도시한 개념도이다.
도 2는 제1 실시예에 따른 통신 네트워크에서 통신 노드를 도시한 블록도이다.
도 3은 제2 실시예에 따른 통신 네트워크에서 도시한 개념도이다.
도 4a 내지 도 4d는 제3 실시예에 따른 통신 네트워크에서 단말 및 게이트웨이간의 보안 연결을 제어하기 위한 연결 관리 장치의 동작을 도시하는 개념도이다.
도 5a 및 도 5b는 제3 실시예에 따른 통신 네트워크에서 통신 노드들간의 보안 연결을 위한 신호 흐름을 도시한 순서도이다.
도 6은 제4 실시예에 따른 통신 네트워크를 도시한 개념도이다.
도 7a 및 도 7b는 제4 실시예에 따른 통신 네트워크에서 통신 노드들간의 보안 연결을 위한 신호 흐름을 도시한 순서도이다.
도 8은 제5 실시예에 따른 통신 네트워크를 도시한 개념도이다.
도 9a 및 도 9b는 제5 실시예에 따른 통신 네트워크에서 통신 노드들간의 그룹 보안 연결을 위한 신호 흐름을 도시한 순서도이다.1 is a conceptual diagram showing a communication network according to the first embodiment.
2 is a block diagram illustrating a communication node in a communication network according to the first embodiment.
3 is a conceptual diagram showing a communication network according to the second embodiment.
4A to 4D are conceptual diagrams showing operations of a connection management apparatus for controlling a secure connection between a terminal and a gateway in a communication network according to the third embodiment.
5A and 5B are flowcharts illustrating a signal flow for a secure connection between communication nodes in a communication network according to the third embodiment.
6 is a conceptual diagram showing a communication network according to the fourth embodiment.
7A and 7B are flowcharts illustrating signal flows for secure connection between communication nodes in a communication network according to the fourth embodiment.
8 is a conceptual diagram showing a communication network according to the fifth embodiment.
9A and 9B are flowcharts illustrating signal flow for group security connection between communication nodes in a communication network according to the fifth embodiment.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 구성요소들은 용어들에 의해 한정되어서는 안 된다. 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.The terms first, second, etc. may be used to describe various elements, but the elements should not be limited by terms. Terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the relevant art and are to be interpreted in an ideal or overly formal sense unless explicitly defined in the present application Do not.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In order to facilitate the understanding of the present invention, the same reference numerals are used for the same constituent elements in the drawings and redundant explanations for the same constituent elements are omitted.

명세서 전체에서 망(network)은, 예를 들어, WiFi(wireless fidelity)와 같은 무선인터넷, WiBro(wireless broadband internet) 또는 WiMax(world interoperability for microwave access)와 같은 휴대인터넷, GSM(global system for mobile communication) 또는 CDMA(code division multiple access)와 같은 2G 이동통신망, WCDMA(wideband code division multiple access) 또는 CDMA2000과 같은 3G 이동통신망, HSDPA(high speed downlink packet access) 또는 HSUPA(high speed uplink packet access)와 같은 3.5G 이동통신망, LTE(long term evolution)망 또는 LTE-Advanced망과 같은 4G 이동통신망, 및 5G 이동통신망 등을 포함할 수 있다.Throughout the specification, the network can be, for example, a wireless Internet such as WiFi (wireless fidelity), a wireless broadband internet (WiBro) or a portable internet such as world interoperability for microwave access (WiMax) A 3G mobile communication network such as Wideband Code Division Multiple Access (WCDMA) or CDMA2000, a high speed downlink packet access (HSDPA), or a high speed uplink packet access (HSUPA) A 3.5G mobile communication network, a 4G mobile communication network such as an LTE (Long Term Evolution) network or an LTE-Advanced network, and a 5G mobile communication network.

명세서 전체에서 단말(terminal)은 이동국(mobile station), 이동 단말(mobile terminal), 가입자국(subscriber station), 휴대 가입자국(portable subscriber station), 사용자 장치(user equipment), 접근 단말(access terminal) 등을 지칭할 수도 있고, 단말, 이동국, 이동 단말, 가입자국, 휴대 가입자 국, 사용자 장치, 접근 단말 등의 전부 또는 일부의 기능을 포함할 수도 있다.Throughout the specification, a terminal is referred to as a mobile station, a mobile terminal, a subscriber station, a portable subscriber station, a user equipment, an access terminal, And may include all or some of the functions of a terminal, a mobile station, a mobile terminal, a subscriber station, a mobile subscriber station, a user equipment, an access terminal, and the like.

여기서, 단말로 통신이 가능한 데스크탑 컴퓨터(desktop computer), 랩탑 컴퓨터(laptop computer), 태블릿(tablet) PC, 무선전화기(wireless phone), 모바일폰(mobile phone), 스마트 폰(smart phone), 스마트 워치(smart watch), 스마트 글래스(smart glass), e-book 리더기, PMP(portable multimedia player), 휴대용 게임기, 네비게이션(navigation) 장치, 디지털 카메라(digital camera), DMB (digital multimedia broadcasting) 재생기, 디지털 음성 녹음기(digital audio recorder), 디지털 음성 재생기(digital audio player), 디지털 영상 녹화기(digital picture recorder), 디지털 영상 재생기(digital picture player), 디지털 동영상 녹화기(digital video recorder), 디지털 동영상 재생기(digital video player) 등을 사용할 수 있다.Here, a desktop computer, a laptop computer, a tablet PC, a wireless phone, a mobile phone, a smart phone, a smart watch, smart watch, smart glass, e-book reader, portable multimedia player (PMP), portable game machine, navigation device, digital camera, digital multimedia broadcasting (DMB) A digital audio recorder, a digital audio player, a digital picture recorder, a digital picture player, a digital video recorder, a digital video player ) Can be used.

명세서 전체에서 기지국(base station)은 접근점(access point), 무선 접근국(radio access station), 노드B(node B), 고도화 노드B(evolved nodeB), 송수신 기지국(base transceiver station), MMR(mobile multihop relay)-BS 등을 지칭할 수도 있고, 기지국, 접근점, 무선 접근국, 노드B, eNodeB, 송수신 기지국, MMR-BS 등의 전부 또는 일부의 기능을 포함할 수도 있다.Throughout the specification, a base station is referred to as an access point, a radio access station, a node B, an evolved node B, a base transceiver station, an MMR mobile multihop relay) -BS, and may include all or some of the functions of a base station, an access point, a radio access station, a Node B, an eNodeB, a base transceiver station, and a MMR-BS.

도 1은 제1 실시예에 따른 통신 네트워크를 도시한 개념도이다.1 is a conceptual diagram showing a communication network according to the first embodiment.

도 1을 참조하면, 통신 네트워크(100)는 복수의 통신 노드들(110-1, 110-2, 110-3, 120-1, 120-2, 130-1, 130-2, 130-3, 130-4, 130-5, 130-6)로 구성될 수 있다. 복수의 통신 노드들 각각은 적어도 하나의 통신 프로토콜을 지원할 수 있다. 예를 들어, 복수의 통신 노드들 각각은 CDMA(code division multiple access) 기반의 통신 프로토콜, WCDMA(wideband CDMA) 기반의 통신 프로토콜, TDMA(time division multiple access) 기반의 통신 프로토콜, FDMA(frequency division multiple access) 기반의 통신 프로토콜, OFDM(orthogonal frequency division multiplexing) 기반의 통신 프로토콜, OFDMA(orthogonal frequency division multiple access) 기반의 통신 프로토콜, SC(single carrier)-FDMA 기반의 통신 프로토콜, NOMA(non-orthogonal multiple access) 기반의 통신 프로토콜, SDMA(space division multiple access) 기반의 통신 프로토콜 등을 지원할 수 있다. 복수의 통신 노드들 각각은 다음과 같은 구조를 가질 수 있다.1, a communication network 100 includes a plurality of communication nodes 110-1, 110-2, 110-3, 120-1, 120-2, 130-1, 130-2, 130-3, 130-4, 130-5, and 130-6. Each of the plurality of communication nodes may support at least one communication protocol. For example, each of the plurality of communication nodes may be a wireless communication device based on a communication protocol based on a code division multiple access (CDMA) communication protocol, a communication protocol based on a wideband CDMA (WCDMA), a communication protocol based on a time division multiple access (TDMA) based communication protocol, an orthogonal frequency division multiplexing (OFDM) based communication protocol, an OFDMA (orthogonal frequency division multiple access) based communication protocol, a single carrier-FDMA based communication protocol, a non-orthogonal multiple access-based communication protocol, and a space division multiple access (SDMA) -based communication protocol. Each of the plurality of communication nodes may have the following structure.

도 2는 제1 실시예에 따른 통신 네트워크에서 통신 노드를 도시한 블록도이다.2 is a block diagram illustrating a communication node in a communication network according to the first embodiment.

도 2를 참조하면, 통신 노드(200)는 적어도 하나의 프로세서(210), 메모리(220) 및 네트워크와 연결되어 통신을 수행하는 송수신 장치(230)를 포함할 수 있다. 또한, 통신 노드(200)는 입력 인터페이스 장치(240), 출력 인터페이스 장치(250), 저장 장치(260) 등을 더 포함할 수 있다. 통신 노드(200)에 포함된 각각의 구성 요소들은 버스(bus)(270)에 의해 연결되어 서로 통신을 수행할 수 있다.Referring to FIG. 2, the communication node 200 may include at least one processor 210, a memory 220, and a transceiver 230 connected to the network to perform communication. The communication node 200 may further include an input interface device 240, an output interface device 250, a storage device 260, and the like. Each component included in the communication node 200 may be connected by a bus 270 and communicate with each other.

프로세서(210)는 메모리(220) 및 저장 장치(260) 중에서 적어도 하나에 저장된 프로그램 명령(program command)을 실행할 수 있다. 프로세서(210)는 중앙 처리 장치(central processing unit, CPU), 그래픽 처리 장치(graphics processing unit, GPU), 또는 본 발명의 실시예들에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다. 메모리(220) 및 저장 장치(260) 각각은 휘발성 저장 매체 및 비휘발성 저장 매체 중에서 적어도 하나로 구성될 수 있다. 예를 들어, 메모리(220)는 읽기 전용 메모리(read only memory, ROM) 및 랜덤 액세스 메모리(random access memory, RAM) 중에서 적어도 하나로 구성될 수 있다.The processor 210 may execute a program command stored in at least one of the memory 220 and the storage device 260. The processor 210 may refer to a central processing unit (CPU), a graphics processing unit (GPU), or a dedicated processor on which methods in accordance with embodiments of the present invention are performed. Each of the memory 220 and the storage device 260 may be constituted of at least one of a volatile storage medium and a nonvolatile storage medium. For example, the memory 220 may comprise at least one of read-only memory (ROM) and random access memory (RAM).

도 3은 제2 실시예에 따른 통신 네트워크에서 도시한 개념도이다.3 is a conceptual diagram showing a communication network according to the second embodiment.

제2 실시예에 따른 통신 네트워크는 적어도 하나의 연결 관리 장치, 적어도 하나의 단말, 적어도 하나의 게이트웨이 및 적어도 하나의 서버를 포함할 수 있다.The communication network according to the second embodiment may include at least one connection management apparatus, at least one terminal, at least one gateway and at least one server.

도 3을 참고하면, 통신 네트워크는 연결 관리 장치(301), 제1 내지 제3 단말(302 내지 304), 제1 내지 제3 게이트웨이(305 내지 307), 제1 내지 제3 서버(308 내지 310), 클라우딩 네트워크(311)를 포함할 수 있다. 클라우딩 네트워크(311)는 클라우딩 서비스를 제공하는 제1 내지 제3 서버(308 내지 310)를 포함할 수 있다. 클라우딩 네트워크는 제1 내지 제3 게이트웨이(305 내지 307)를 더 포함할 수 있다.3, the communication network includes a connection management apparatus 301, first to third terminals 302 to 304, first to third gateways 305 to 307, first to third servers 308 to 310 , And a clouding network 311. The clouding network 311 may include first to third servers 308 to 310 for providing a clouding service. The clouding network may further include first to third gateways 305 to 307.

연결 관리 장치(301)는 네트워크 내의 객체들 간의 접근 제어 정책을 관리할 수 있다. 예를 들어, 연결 관리 장치(301)는 복수개의 단말들(302 내지 304), 복수개의 게이트웨이들(305 내지 307) 및 복수개의 서버들(308 내지 310)간의 접근을 제어할 수 있다.The connection management apparatus 301 can manage an access control policy between objects in the network. For example, the connection management apparatus 301 can control access between the plurality of terminals 302 to 304, the plurality of gateways 305 to 307, and the plurality of servers 308 to 310.

복수개의 단말들(302 내지 304), 복수개의 게이트웨이들(305 내지 307) 및 복수개의 서버들(308 내지 310)은 보안 연결을 통해 상호 연결될 수 있다. 예를 들어, 보안 연결은 IPSec(Internet Protocol Security) 터널(tunnel)을 이용한 연결일 수 있다.A plurality of terminals 302 to 304, a plurality of gateways 305 to 307, and a plurality of servers 308 to 310 may be interconnected through a secure connection. For example, the secure connection may be a connection using an Internet Protocol Security (IPSec) tunnel.

복수개의 단말들(302 내지 304)은 클라우드 시스템에 접근할 수 있다. 예를 들어, 복수개의 단말들(302 내지 304)은 복수개의 게이트웨이들(305 내지 307) 중 적어도 하나의 게이트웨이를 통해, 복수개의 서버들(308 내지 310) 중 적어도 하나의 서비스 제공자에 접근할 수 있다.The plurality of terminals 302 to 304 can access the cloud system. For example, the plurality of terminals 302 to 304 can access at least one of the plurality of servers 308 to 310 through at least one of the plurality of gateways 305 to 307 have.

복수개의 게이트웨이들(305 내지 307)은 복수개의 서버들(308 내지 310)에 대한 접근 제어 기능을 수행할 수 있다. 예를 들어, 복수개의 게이트웨이들(305 내지 307)은 복수개의 서버들(308 내지 310) 중 적어도 하나의 서비스 제공자에 대한 복수개의 단말들(302 내지 304) 중 적어도 하나의 단말의 접근을 제어할 수 있다.The plurality of gateways 305 to 307 may perform an access control function for the plurality of servers 308 to 310. For example, the plurality of gateways 305 to 307 may control access of at least one of the plurality of terminals 302 to 304 to at least one of the plurality of servers 308 to 310 .

복수개의 서버들(308 내지 310)은 각각 적어도 하나의 클라우드 서비스를 제공할 수 있다. 예를 들어, 복수개의 서버들(308 내지 310)은 복수개의 게이트웨이들(305 내지 307) 중 적어도 하나의 게이트웨이를 통해 복수개의 단말들(302 내지 304) 중 적어도 하나의 단말로 적어도 하나의 클라우드 서비스를 제공할 수 있다.The plurality of servers 308 to 310 may each provide at least one cloud service. For example, the plurality of servers 308 to 310 may communicate with at least one terminal of the plurality of terminals 302 to 304 through at least one gateway among the plurality of gateways 305 to 307, Can be provided.

도 3은 설명의 편의를 위하여 하나의 연결 관리 장치, 3개의 단말, 2개의 게이트웨이 및 3개의 서버를 도시하고 있다. 그러나, 연결 관리 장치는 복수개일 수 있다. 또한, 단말, 게이트웨이 및 서버 각각은 3개 미만이거나, 4개 이상일 수 있다.3 shows one connection management apparatus, three terminals, two gateways and three servers for convenience of explanation. However, the connection management apparatus may be plural. In addition, each of the terminal, the gateway and the server may be less than three, or four or more.

도 4a 내지 도 4d는 제3 실시예에 따른 통신 네트워크에서 단말 및 게이트웨이간의 보안 연결을 제어하기 위한 연결 관리 장치의 동작을 도시하는 개념도이다.4A to 4D are conceptual diagrams showing operations of a connection management apparatus for controlling a secure connection between a terminal and a gateway in a communication network according to the third embodiment.

제3 실시예에 따른 연결 관리 장치(410)는 접근 단말의 접근권한에 따른 온디맨드 형식의 보안 연결을 제공할 수 있다. 예를 들어, 연결 관리 장치(410)는 통신 네트워크 내의 통신 노드들의 보안 연결 정보를 일괄적으로 관리할 수 있다. 따라서, 연결 관리 장치(410)는 통신 노드들의 접근권한이 변경될 경우, 변경된 접근권한에 따라 통신 노드들의 보안 연결을 제어할 수 있다. 또한, 연결 관리 장치(410)는 통신 노드들의 보안 연결 상태를 일괄적으로 모니터링할 수 있다.The connection management apparatus 410 according to the third embodiment can provide an on demand type security connection according to the access authority of the access terminal. For example, the connection management apparatus 410 can collectively manage the security connection information of the communication nodes in the communication network. Accordingly, when the access authority of the communication nodes is changed, the connection management apparatus 410 can control the secure connection of the communication nodes according to the changed access authority. Also, the connection management apparatus 410 can collectively monitor the security connection state of the communication nodes.

도 4a를 참고하면, 연결 관리 장치(410)는 적어도 하나의 단말, 적어도 하나의 게이트웨이의 장비 정보를 저장할 수 있다. 이때, 연결 관리 장치(410)는 적어도 하나의 단말, 적어도 하나의 게이트웨이간의 연결이 수행되기 이전에, 적어도 하나의 단말, 적어도 하나의 게이트웨이의 장비 정보를 미리 저장할 수 있다.Referring to FIG. 4A, the connection management apparatus 410 may store device information of at least one terminal, and at least one gateway. At this time, the connection management apparatus 410 may previously store device information of at least one terminal, at least one gateway, before connection between at least one terminal and at least one gateway is performed.

예를 들어, 연결 관리 장치(410)는 제1 단말(420), 제1 단말(420)의 제조사(미도시), 제1 단말(420)로 통신 서비스를 제공하는 통신 서비스 제공사(미도시) 중 적어도 하나로부터 제1 단말(420)의 장비 정보를 수신할 수 있다. 제1 단말(420)의 장비 정보는 제1 단말 정보라 지칭될 수 있다. 제1 단말 정보는, 제1 단말(420)의 식별자(identifier, ID), 제1 단말(420)의 인증 방법에 관한 정보, 제1 단말(420)의 IP 주소, 제1 단말(420)의 서브넷(subnet) 정보 중 적어도 하나를 포함할 수 있다.For example, the connection management apparatus 410 may include a first terminal 420, a manufacturer (not shown) of the first terminal 420, a communication service provider (not shown) providing communication service to the first terminal 420, The device information of the first terminal 420 can be received from at least one of the first terminal 420 and the second terminal 420. The equipment information of the first terminal 420 may be referred to as first terminal information. The first terminal information includes an identifier of the first terminal 420, information on the authentication method of the first terminal 420, an IP address of the first terminal 420, And may include at least one of subnet information.

또한, 연결 관리 장치(410)는 제1 게이트웨이(430), 제1 게이트웨이(430)의 제조사(미도시), 제1 게이트웨이(430)에게 통신 서비스를 제공하는 통신 서비스 제공사(미도시) 중 적어도 하나로부터 제1 게이트웨이(430)의 장비 정보를 수신할 수 있다. 제1 게이트웨이(430)의 장비 정보는 제1 게이트웨이 정보라 지칭될 수 있다. 제1 게이트웨이 정보는, 제1 게이트웨이(430)의 식별자(identifier, ID), 제1 게이트웨이(430)의 인증 방법에 관한 정보, 제1 게이트웨이(430)의 IP 주소, 제1 게이트웨이(430)의 서브넷 정보 중 적어도 하나를 포함할 수 있다.The connection management apparatus 410 includes at least one of a first gateway 430, a manufacturer of the first gateway 430 (not shown), a communication service provider (not shown) providing a communication service to the first gateway 430 And can receive equipment information of the first gateway 430 from one. The equipment information of the first gateway 430 may be referred to as first gateway information. The first gateway information includes an identifier of the first gateway 430, information on the authentication method of the first gateway 430, an IP address of the first gateway 430, And subnet information.

마찬가지로, 연결 관리 장치(410)는 제2 게이트웨이(440), 제2 게이트웨이(440)의 제조사(미도시), 제2 게이트웨이(440)로 통신 서비스를 제공하는 통신 서비스 제공사(미도시) 중 적어도 하나로부터 제2 게이트웨이(440)의 장비 정보를 수신할 수 있다. 제2 게이트웨이(440)의 장비 정보는 제2 게이트웨이 정보라 지칭될 수 있다. 제2 게이트웨이 정보는, 제2 게이트웨이(440)의 식별자(identifier, ID), 제2 게이트웨이(440)의 인증 방법에 관한 정보, 제2 게이트웨이(440)의 IP 주소, 제2 게이트웨이(440)의 서브넷 정보 중 적어도 하나를 포함할 수 있다.Likewise, the connection management apparatus 410 may include at least one of a manufacturer of a second gateway 440, a second gateway 440, and a communication service provider (not shown) that provides communication services to the second gateway 440 And can receive equipment information of the second gateway 440 from one. The equipment information of the second gateway 440 may be referred to as second gateway information. The second gateway information includes an identifier of the second gateway 440, information on the authentication method of the second gateway 440, an IP address of the second gateway 440, And subnet information.

연결 관리 장치(410)는 기저장된 각 객체들의 장비 정보에 기초하여 적어도 하나의 단말, 적어도 하나의 게이트웨이의 접근을 제어할 수 있다. 예를 들어, 연결 관리 장치(410)는 제1 단말(420)이 연결 관리 장치(410)에 로그인할 경우, 제1 단말(420)의 식별자, 인증 방법에 관한 정보 중 적어도 하나에 기초하여 제1 단말(420)에 대한 인증 절차를 수행할 수 있다.The connection management apparatus 410 can control access of at least one terminal and at least one gateway based on equipment information of previously stored objects. For example, when the first terminal 420 logs in to the connection management apparatus 410, the connection management apparatus 410 transmits the identification information of the first terminal 420 to the connection management apparatus 410 based on at least one of the identifier of the first terminal 420, 1 < / RTI >

또한, 연결 관리 장치(410)는 제1 게이트웨이(430)가 연결 관리 장치(410)에 로그인할 경우, 제1 게이트웨이(430)의 식별자, 인증 방법에 관한 정보 중 적어도 하나에 기초하여 제1 게이트웨이(430)에 대한 인증 절차를 수행할 수 있다.When the first gateway 430 logs in to the connection management apparatus 410, the connection management apparatus 410 determines whether the first gateway 430 is connected to the first gateway 430 based on at least one of the identifier of the first gateway 430, The authentication processing unit 430 may perform an authentication procedure.

마찬가지로, 연결 관리 장치(410)는 제2 게이트웨이(440)가 연결 관리 장치(410)에 로그인할 경우, 제2 게이트웨이(440)의 식별자, 인증 방법에 관한 정보 중 적어도 하나에 기초하여 제2 게이트웨이(440)에 대한 인증 절차를 수행할 수 있다.Similarly, when the second gateway 440 logs in to the connection management apparatus 410, the connection management apparatus 410 determines whether the second gateway 440 is connected to the second gateway 440 based on at least one of the identifier of the second gateway 440, (440). ≪ / RTI >

연결 관리 장치(410)는 각각의 객체별로 보안 연결 정보를 생성할 수 있다. 이때, 연결 관리 장치(410)는 각각의 객체들의 장비 정보에 기초하여 적어도 하나의 보안 연결 정보를 생성할 수 있다.The connection management apparatus 410 may generate security association information for each object. At this time, the connection management apparatus 410 may generate at least one security connection information based on the equipment information of the respective objects.

예를 들어, 연결 관리 장치(410)는 제1 단말(420)의 IP 주소, 제1 단말(420)의 서브넷 정보, 제1 게이트웨이(430)의 IP 주소, 제1 게이트웨이(430)의 서브넷 정보, 제2 게이트웨이(440)의 IP 주소, 제2 게이트웨이(440)의 서브넷 정보 중 적어도 하나에 기초하여 제1 단말(420)에 대한 보안 연결 정보를 생성할 수 있다. 제1 단말(420)에 대한 보안 연결 정보는 제1 단말 보안 연결 정보(421)라 지칭될 수 있다. 제1 단말 보안 연결 정보(421)는, 제1 보안 연결 정보(422), 제2 보안 연결 정보(432) 중 적어도 하나를 포함할 수 있다. 제1 보안 연결 정보(422)는 제1 단말(420)과 제1 게이트웨이(430)간의 보안 연결 정보를 포함할 수 있다. 제2 보안 연결 정보(432)는 제1 단말(210)과 제2 게이트웨이(320)간의 보안 연결 정보를 포함할 수 있다.For example, the connection management apparatus 410 may receive the IP address of the first terminal 420, the subnet information of the first terminal 420, the IP address of the first gateway 430, the subnet information of the first gateway 430, The IP address of the first gateway 420, the IP address of the second gateway 440, and the subnet information of the second gateway 440. The security connection information for the first terminal 420 may be referred to as first terminal security connection information 421. The first terminal security association information 421 may include at least one of first security association information 422 and second security association information 432. The first security connection information 422 may include security connection information between the first terminal 420 and the first gateway 430. The second security connection information 432 may include security connection information between the first terminal 210 and the second gateway 320.

또한, 연결 관리 장치(410)는 제1 단말(420)의 IP 주소, 제1 단말(420)의 서브넷 정보, 제1 게이트웨이(430)의 IP 주소, 제1 게이트웨이(430)의 서브넷 정보 중 적어도 하나에 기초하여 제1 게이트웨이(430)에 대한 보안 연결 정보를 생성할 수 있다. 제1 게이트웨이(430)에 대한 보안 연결 정보는 제1 게이트웨이 보안 연결 정보(431)라 지칭될 수 있다. 제1 게이트웨이 보안 연결 정보(431)는 제3 보안 연결 정보(431)를 포함할 수 있다. 제3 보안 연결 정보(431)는 제1 게이트웨이(430)와 제1 단말(420)간의 보안 연결 정보를 포함할 수 있다.The connection management apparatus 410 also receives at least the IP address of the first terminal 420, the subnet information of the first terminal 420, the IP address of the first gateway 430, and the subnet information of the first gateway 430 And may generate the security connection information for the first gateway 430 based on the one. The security connection information for the first gateway 430 may be referred to as first gateway security connection information 431. The first gateway security connection information 431 may include third security connection information 431. [ The third security connection information 431 may include security connection information between the first gateway 430 and the first terminal 420.

마찬가지로, 연결 관리 장치(410)는 제1 단말(420)의 IP 주소, 제1 단말(420)의 서브넷 정보, 제2 게이트웨이(440)의 IP 주소, 제2 게이트웨이(440)의 서브넷 정보 중 적어도 하나에 기초하여 제2 게이트웨이(440)에 대한 보안 연결 정보를 생성할 수 있다. 제2 게이트웨이(440)에 대한 보안 연결 정보는 제2 게이트웨이 보안 연결 정보(441)라 지칭될 수 있다. 제2 게이트웨이 보안 연결 정보(441)는 제4 보안 연결 정보(442)를 포함할 수 있다. 제4 보안 연결 정보(442)는 제2 게이트웨이(440) 및 제1 단말(420)간의 보안 연결 정보를 포함할 수 있다.Similarly, the connection management apparatus 410 receives at least the IP address of the first terminal 420, the subnet information of the first terminal 420, the IP address of the second gateway 440, and the subnet information of the second gateway 440 And may generate security association information for the second gateway 440 based on the one. The security connection information for the second gateway 440 may be referred to as second gateway security connection information 441. [ The second gateway security association information 441 may include fourth security association information 442. The fourth security association information 442 may include security association information between the second gateway 440 and the first terminal 420.

도 4b를 참고하면, 연결 관리 장치(410)는 적어도 하나의 게이트웨이가 연결 관리 장치(410)로 로그인할 경우, 기저장된 보안 연결 정보에 기초하여 적어도 하나의 게이트웨이의 접근을 제어할 수 있다.Referring to FIG. 4B, when at least one gateway logs in to the connection management apparatus 410, the connection management apparatus 410 can control access of at least one gateway based on the previously stored security connection information.

예를 들어, 연결 관리 장치(410)는 제1 게이트웨이(430)가 연결 관리 장치(410)에 로그인할 경우, 기저장된 제1 게이트웨이(430)의 장비 정보에 기초하여 제1 게이트웨이(430)에 대한 인증 절차를 수행할 수 있다. 연결 관리 장치(410)는 제1 게이트웨이(430)가 인증될 경우, 기생성된 제1 게이트웨이 보안 연결 정보(431)를 제1 게이트웨이(430)로 송신할 수 있다.For example, when the first gateway 430 logs in to the connection management apparatus 410, the connection management apparatus 410 transmits the first gateway 430 to the first gateway 430 based on the equipment information of the first gateway 430 The authentication process can be performed. The connection management apparatus 410 may transmit the generated first gateway security connection information 431 to the first gateway 430 when the first gateway 430 is authenticated.

마찬가지로, 연결 관리 장치(410)는 제2 게이트웨이(430)가 연결 관리 장치(410)에 로그인할 경우, 기저장된 제2 게이트웨이(440)의 장비 정보에 기초하여 제2 게이트웨이(440)에 대한 인증 절차를 수행할 수 있다. 연결 관리 장치(410)는 제2 게이트웨이(440)가 인증될 경우, 기생성된 제2 게이트웨이 보안 연결 정보(441)를 제2 게이트웨이(440)로 송신할 수 있다.Similarly, when the second gateway 430 logs in to the connection management apparatus 410, the connection management apparatus 410 authenticates the second gateway 440 based on the equipment information of the previously stored second gateway 440 Procedure can be performed. The connection management apparatus 410 may transmit the generated second gateway security connection information 441 to the second gateway 440 when the second gateway 440 is authenticated.

도 4c를 참고하면, 연결 관리 장치(410)는 적어도 하나의 단말이 연결 관리 장치(410)로 로그인할 경우, 기저장된 보안 연결 정보에 기초하여 적어도 하나의 단말의 접근을 제어할 수 있다.Referring to FIG. 4C, when at least one terminal logs in to the connection management apparatus 410, the connection management apparatus 410 can control access to at least one terminal based on previously stored security connection information.

예를 들어, 연결 관리 장치(410)는 제1 단말(430)가 연결 관리 장치(410)에 로그인할 경우, 기저장된 제1 단말(420)의 장비 정보에 기초하여 제1 단말(420)에 대한 인증 절차를 수행할 수 있다. 연결 관리 장치(410)는 제1 단말(420)이 인증될 경우, 기생성된 제1 단말 보안 연결 정보(421)를 제1 단말(420)로 송신할 수 있다.For example, when the first terminal 430 logs in to the connection management apparatus 410, the connection management apparatus 410 transmits the first terminal 420 to the first terminal 420 based on the equipment information of the first terminal 420 The authentication process can be performed. The connection management apparatus 410 may transmit the generated first terminal security association information 421 to the first terminal 420 when the first terminal 420 is authenticated.

도 4d를 참고하면, 적어도 하나의 단말 및 적어도 하나의 게이트웨이는 연결 관리 장치(410)로부터 수신한 보안 연결 정보에 기초하여, 연결 관리 장치(410)의 명령에 따라 상호 연결될 수 있다.Referring to FIG. 4D, at least one terminal and at least one gateway may be interconnected according to a command of the connection management apparatus 410, based on the security connection information received from the connection management apparatus 410.

예를 들어, 제1 단말(420)은 연결 관리 장치(410)로부터 제1 게이트웨이(430)와의 보안 연결을 활성화할 것을 명령하는 메시지를 수신할 경우, 제1 보안 연결 정보(422)에 기초하여 제1 게이트웨이(430)와 보안 연결할 수 있다. 이때, 제1 단말(420)은 제1 IPSec 터널(451)을 통해 제1 게이트웨이(430)와 보안 연결할 수 있다.For example, when the first terminal 420 receives a message from the connection managing apparatus 410 instructing to activate a secure connection with the first gateway 430, the first terminal 420 determines, based on the first secure connection information 422, And may be securely connected to the first gateway 430. At this time, the first terminal 420 can securely connect to the first gateway 430 through the first IPSec tunnel 451.

또한, 제1 단말(420)은 연결 관리 장치(410)로부터 제2 게이트웨이(430)와의 보안 연결을 활성화할 것을 명령하는 메시지를 수신할 경우, 제2 보안 연결 정보(422)에 기초하여 제2 게이트웨이(440)와 보안 연결할 수 있다. 이때, 제1 단말(420)은 제2 IPSec 터널(452)을 통해 제2 게이트웨이(440)와 보안 연결할 수 있다.When the first terminal 420 receives a message instructing to activate the secure connection with the second gateway 430 from the connection management apparatus 410, And can securely connect to the gateway 440. At this time, the first terminal 420 can establish a secure connection with the second gateway 440 through the second IPSec tunnel 452.

마찬가지로, 제1 게이트웨이(430)는 연결 관리 장치(410)로부터 제1 단말(420)과의 보안 연결을 활성화할 것을 명령하는 메시지를 수신할 경우, 제3 보안 연결 정보(431)에 기초하여 제1 단말(420)과 보안 연결할 수 있다. 이때, 제1 게이트웨이(430)는 제1 IPSec 터널(451)을 통해 제1 단말(420)과 보안 연결할 수 있다.Similarly, when the first gateway 430 receives a message instructing to activate the secure connection with the first terminal 420 from the connection management apparatus 410, the first gateway 430 transmits the third secure connection information 431 1 < / RTI > At this time, the first gateway 430 can establish a secure connection with the first terminal 420 through the first IPSec tunnel 451.

또한, 제2 게이트웨이(440)는 연결 관리 장치(410)로부터 제1 단말(420)과의 보안 연결을 활성화할 것을 명령하는 메시지를 수신할 경우, 제4 보안 연결 정보(442)에 기초하여 제1 단말(420)과 보안 연결할 수 있다. 이때, 제2 게이트웨이(440)는 제2 IPSec 터널(452)을 통해 제1 단말(420)과 보안 연결을 할 수 있다.When the second gateway 440 receives a message instructing activation of the secure connection with the first terminal 420 from the connection management apparatus 410, the second gateway 440 transmits the fourth secure connection information 442 based on the fourth secure connection information 442 1 < / RTI > At this time, the second gateway 440 can establish a secure connection with the first terminal 420 through the second IPSec tunnel 452.

실시예에 따른 연결 관리 장치(410)는, 기저장된 각 객체들의 장비 정보에 기초하여 각 객체들간의 연결을 일괄적으로 제어함으로써, 각 객체들 간의 연결을 효율적으로 관리할 수 있는 효과가 있다. 또한, 연결 관리 장치(410)는 기저장된 각 객체들의 장비 정보에 기초하여 각 객체들간의 연결을 일괄적으로 제어함으로써, 각 객체들간의 연결을 일괄적으로 모니터링할 수 있는 효과가 있다.The connection management apparatus 410 according to the embodiment has an effect of efficiently managing connections among the objects by collectively controlling connections between the objects based on equipment information of previously stored objects. Also, the connection management apparatus 410 collectively controls the connections between the objects based on the equipment information of the previously stored objects, thereby collectively monitoring the connections between the objects.

또한, 연결 관리 장치(410)는 기저장된 각 객체들의 장비 정보에 기초하여 각 객체들간의 연결을 일괄적으로 제어함으로써, 각 객체들의 접근 권한에 관한 정보가 변경될 경우에도 각 객체들간의 연결을 동적으로 제어할 수 있다. 예를 들어, 연결 관리 장치(410)는 각 객체들이 로그인 또는 로그아웃할 경우, 동적으로 각 객체들의 연결을 제어할 수 있다.In addition, the connection management apparatus 410 collectively controls connections between objects based on equipment information of previously stored objects, so that even when the information on the access right of each object is changed, Can be dynamically controlled. For example, the connection management device 410 can dynamically control the connection of each object when each object is logged in or out.

도 5a 및 도 5b는 제3 실시예에 따른 통신 네트워크에서 통신 노드들간의 보안 연결을 위한 신호 흐름을 도시한 순서도이다.5A and 5B are flowcharts illustrating a signal flow for a secure connection between communication nodes in a communication network according to the third embodiment.

도 5a를 참고하면, 연결 관리 장치(510)는 단말(520), 제1 게이트웨이(530) 및 제2 게이트웨이(540)의 보안 연결을 제어할 수 있다. 여기서, 연결 관리 장치(510), 단말(520), 제1 게이트웨이(530) 및 제2 게이트웨이(540) 각각은, 도 4A 내지 도 4D의 연결 관리 장치(410), 단말(420), 제1 게이트웨이(430) 및 제2 게이트웨이(440)와 동일 또는 유사하게 동작할 수 있다.Referring to FIG. 5A, the connection management apparatus 510 can control the secure connection of the terminal 520, the first gateway 530, and the second gateway 540. Each of the connection management apparatus 510, the terminal 520, the first gateway 530 and the second gateway 540 includes the connection management apparatus 410, the terminal 420, And may operate in the same or similar manner as gateway 430 and second gateway 440.

연결 관리 장치(510)는 보안 연결 정보를 생성할 수 있다(S501). 연결 관리 장치(510)는 단말 장비 정보, 제1 게이트웨이 장비 정보, 제2 게이트웨이 장비 정보를 저장할 수 있다. 연결 관리 장치(510)는 단말 장비 정보, 제1 게이트웨이 장비 정보, 제2 게이트웨이 장비 정보에 기초하여 보안 연결 정보를 생성할 수 있다. 예를 들어, 연결 관리 장치(510)는 단말 장비 정보에 기초하여 단말 보안 연결 정보를 생성할 수 있다. 또한, 연결 관리 장치(510)는 제1 게이트웨이 장비 정보에 기초하여 제1 게이트웨이 보안 연결 정보를 생성할 수 있다. 또한, 연결 관리 장치(510)는 제2 게이트웨이 장비 정보에 기초하여 제2 게이트웨이 보안 연결 정보를 생성할 수 있다.The connection management apparatus 510 may generate security connection information (S501). The connection management apparatus 510 may store terminal equipment information, first gateway equipment information, and second gateway equipment information. The connection management apparatus 510 may generate security connection information based on the terminal equipment information, the first gateway equipment information, and the second gateway equipment information. For example, the connection management apparatus 510 can generate terminal security connection information based on terminal equipment information. In addition, the connection management apparatus 510 may generate the first gateway security connection information based on the first gateway equipment information. In addition, the connection management apparatus 510 may generate the second gateway security connection information based on the second gateway device information.

연결 관리 장치(510)는 제1 게이트웨이(530)로부터 로그인 요청 신호를 수신할 수 있다(S502). 로그인 요청 신호는 제1 게이트웨이(530)의 식별자를 포함할 수 있다. 연결 관리 장치(510)는 제1 게이트웨이(530)의 식별자에 기초하여 제1 게이트웨이(530)를 식별할 수 있다.The connection management apparatus 510 may receive a login request signal from the first gateway 530 (S502). The login request signal may include an identifier of the first gateway 530. The connection management apparatus 510 can identify the first gateway 530 based on the identifier of the first gateway 530. [

연결 관리 장치(510)는 제1 게이트웨이(530)에 대한 인증 절차를 수행할 수 있다(S503). 연결 관리 장치(510)는 제1 게이트웨이 장비 정보에 기초하여 인증 절차를 수행할 수 있다.The connection management apparatus 510 may perform an authentication procedure for the first gateway 530 (S503). The connection management apparatus 510 can perform the authentication procedure based on the first gateway device information.

연결 관리 장치(510)는 제1 게이트웨이 보안 연결 정보를 제1 게이트웨이(530)로 송신할 수 있다(S504). 연결 관리 장치(520)는 제1 게이트웨이 장비 정보에 기초하여 제1 게이트웨이(530)가 인증될 경우, 제1 게이트웨이 보안 연결 정보를 제1 게이트웨이(530)로 송신할 수 있다.The connection management apparatus 510 may transmit the first gateway security connection information to the first gateway 530 (S504). The connection management apparatus 520 may transmit the first gateway security connection information to the first gateway 530 when the first gateway 530 is authenticated based on the first gateway equipment information.

연결 관리 장치(510)는 제2 게이트웨이(540)로부터 로그인 요청 신호를 수신할 수 있다(S505). 로그인 요청 신호는 제2 게이트웨이(540)의 식별자를 포함할 수 있다. 연결 관리 장치(510)는 제2 게이트웨이(540)의 식별자에 기초하여 제2 게이트웨이(540)를 식별할 수 있다.The connection management apparatus 510 may receive a login request signal from the second gateway 540 (S505). The login request signal may include the identifier of the second gateway 540. The connection management device 510 can identify the second gateway 540 based on the identifier of the second gateway 540. [

연결 관리 장치(510)는 제2 게이트웨이(540)에 대한 인증 절차를 수행할 수 있다(S506). 연결 관리 장치(510)는 제2 게이트웨이 장비 정보에 기초하여 인증 절차를 수행할 수 있다.The connection management apparatus 510 may perform an authentication procedure for the second gateway 540 (S506). The connection management apparatus 510 may perform the authentication procedure based on the second gateway device information.

연결 관리 장치(510)는 제2 게이트웨이 보안 연결 정보를 제2 게이트웨이(540)로 송신할 수 있다(S507). 연결 관리 장치(510)는 제2 게이트웨이 장비 정보에 기초하여 제2 게이트웨이(540)가 인증될 경우, 제2 게이트웨이 보안 연결 정보를 제2 게이트웨이(540)로 송신할 수 있다.The connection management apparatus 510 may transmit the second gateway security connection information to the second gateway 540 (S507). The connection management device 510 may transmit the second gateway security connection information to the second gateway 540 when the second gateway 540 is authenticated based on the second gateway device information.

연결 관리 장치(510)는 단말(520)로부터 로그인 요청 신호를 수신할 수 있다(S508). 로그인 요청 신호는 단말(520)의 식별자를 포함할 수 있다. 연결 관리 장치(510)는 단말(520)의 식별자에 기초하여 단말(520)을 식별할 수 있다. 로그인 요청 신호는 제1 서비스 제공자(미도시) 및 제2 서비스 제공자(미도시)에 대한 접근을 요청하는 신호를 포함할 수 있다. 제1 서비스 제공자는 제1 게이트웨이와 연결될 수 있다. 제2 서비스 제공자는 제2 게이트웨이와 연결될 수 있다.The connection management apparatus 510 may receive a login request signal from the terminal 520 (S508). The login request signal may include an identifier of the terminal 520. The connection management apparatus 510 can identify the terminal 520 based on the identifier of the terminal 520. The login request signal may include a signal requesting access to a first service provider (not shown) and a second service provider (not shown). The first service provider may be connected to the first gateway. And the second service provider may be connected to the second gateway.

연결 관리 장치(510)는 단말(520)에 대한 인증 절차를 수행할 수 있다(S509). 연결 관리 장치(510)는 단말 장비 정보에 기초하여 인증 절차를 수행할 수 있다.The connection management apparatus 510 may perform an authentication procedure for the terminal 520 (S509). The connection management apparatus 510 may perform the authentication procedure based on the terminal equipment information.

연결 관리 장치(510)는 단말 보안 연결 정보를 단말(520)로 송신할 수 있다(S510). 연결 관리 장치(510)는 단말 장비 정보에 기초하여 단말(520)이 인증될 경우, 단말 보안 연결 정보를 단말(520)로 송신할 수 있다.The connection management apparatus 510 may transmit the terminal security connection information to the terminal 520 (S510). The connection management apparatus 510 may transmit the terminal security connection information to the terminal 520 when the terminal 520 is authenticated based on the terminal equipment information.

도 5b를 참고하면, 연결 관리 장치(510)는 보안 연결 활성화 요청 신호를 제1 게이트웨이(530)로 송신할 수 있다(S511). 연결 관리 장치(510)는 보안 연결을 활성화할 것을 요청하는 보안 연결 활성화 요청 신호를 제1 게이트웨이(530)로 송신할 수 있다.Referring to FIG. 5B, the connection management apparatus 510 may transmit a secure connection activation request signal to the first gateway 530 (S511). The connection management device 510 may send a secure connection activation request signal to the first gateway 530 requesting to activate the secure connection.

제1 게이트웨이(530)는 연결 관리 장치(510)로부터 보안 연결 활성화 요청 신호를 수신할 경우, 제1 보안 연결을 활성화할 수 있다. 제1 보안 연결은 제1 단말(510) 및 제1 게이트웨이(530)간에 미리 정의된 제1 IPSec 터널(미도시)을 의미할 수 있다.When the first gateway 530 receives the secure connection activation request signal from the connection managing device 510, the first gateway 530 can activate the first secure connection. The first secure connection may refer to a first IPSec tunnel (not shown) predefined between the first terminal 510 and the first gateway 530.

연결 관리 장치(510)는 보안 연결 활성화 요청 신호를 제2 게이트웨이(540)로 송신할 수 있다(S512). 연결 관리 장치(510)는 보안 연결을 활성화할 것을 요청하는 보안 연결 활성화 요청 신호를 제2 게이트웨이(540)로 송신할 수 있다.The connection management apparatus 510 may transmit a secure connection activation request signal to the second gateway 540 (S512). The connection management device 510 may send a secure connection activation request signal to the second gateway 540 requesting to activate the secure connection.

제2 게이트웨이(514)는 연결 관리 장치(510)로부터 보안 연결 활성화 요청 신호를 수신할 경우, 제2 보안 연결을 활성화할 수 있다. 제2 보안 연결은 제1 단말(510) 및 제2 게이트웨이(540)간에 미리 정의된 제2 IPSec 터널(미도시)을 의미할 수 있다.When the second gateway 514 receives the security association activation request signal from the connection management apparatus 510, the second gateway 514 can activate the second security association. The second secure connection may refer to a second IPSec tunnel (not shown) predefined between the first terminal 510 and the second gateway 540.

연결 관리 장치(510)는 보안 연결 활성화 요청 신호를 단말(520)로 송신할 수 있다(S513). 연결 관리 장치(510)는 보안 연결을 활성화할 것을 요청하는 보안 연결 활성화 요청 신호를 단말(520)로 송신할 수 있다(S513).The connection management apparatus 510 may transmit a secure connection activation request signal to the terminal 520 (S513). The connection management apparatus 510 may transmit a secure connection activation request signal to the terminal 520 requesting activation of the secure connection (S513).

단말(520)은 연결 관리 장치(510)로부터 보안 연결 활성화 요청 신호를 수신할 경우, 상기 보안 연결 활성화 요청 신호에 따라, 제1 보안 연결 및 2 보안 연결을 활성화할 수 있다.When the terminal 520 receives the security association activation request signal from the connection management apparatus 510, the terminal 520 can activate the first security association and the second security association according to the security association activation request signal.

연결 관리 장치(510)는 보안 연결 활성화 요청 신호를 제1 단말(520), 제1 게이트웨이(530) 및 제2 게이트웨이(540)로 동시에 송신할 수 있다. 이때, 제1 단말(520), 제1 게이트웨이(530) 및 제2 게이트웨이(540)는 동시에 각각의 보안 연결을 활성화할 수 있다.The connection management apparatus 510 may simultaneously transmit the secure connection activation request signal to the first terminal 520, the first gateway 530, and the second gateway 540. At this time, the first terminal 520, the first gateway 530, and the second gateway 540 may simultaneously activate respective security associations.

도 6은 제4 실시예에 따른 통신 네트워크를 도시한 개념도이다.6 is a conceptual diagram showing a communication network according to the fourth embodiment.

제4 실시예에 따른 연결 관리 장치(610)는 단말의 연결 상태에 따라 보안 정책을 자동으로 반영할 수 있다. 예를 들어, 연결 관리 장치(610)는 단말이 적어도 하나의 게이트웨이로부터 로그아웃할 경우, 적어도 하나의 게이트웨이의 보안 연결을 일괄적으로 차단할 수 있다. 따라서, 연결 관리 장치(610)는 게이트웨이에 위장 연결된 단말의 연결을 차단할 수 있고, 이에 따라 적어도 하나의 게이트웨이에 대한 보안성을 증대시킬 수 있다.The connection management apparatus 610 according to the fourth embodiment can automatically reflect the security policy according to the connection state of the terminal. For example, the connection management device 610 may collectively block the security connection of at least one gateway when the terminal logs out of the at least one gateway. Accordingly, the connection management apparatus 610 can block the connection of the terminal that is implicated in the gateway, thereby increasing the security of at least one gateway.

도 6을 참고하면, 연결 관리 장치(610)는 적어도 하나의 단말의 접근 또는 접근 해제에 따라 적어도 하나의 단말과 연결되는 적어도 하나의 게이트웨이의 연결을 제어할 수 있다. 예를 들어, 연결 관리 장치(610)는, 적어도 하나의 단말이 접근할 경우, 적어도 하나의 게이트웨이가 적어도 하나의 단말과 보안 연결되도록 적어도 하나의 게이트웨이의 연결을 제어할 수 있다. 예를 들어, 연결 관리 장치(610)는, 적어도 하나의 단말이 로그인할 경우, 적어도 하나의 게이트웨이로 보안 연결을 활성화시킬 것을 명령하는 메시지를 송신할 수 있다.Referring to FIG. 6, the connection management apparatus 610 may control connection of at least one gateway connected to at least one terminal according to at least one terminal access or access release. For example, the connection management apparatus 610 may control connection of at least one gateway so that at least one gateway is securely connected to at least one terminal when the at least one terminal is accessed. For example, the connection management device 610 may send a message instructing at least one gateway to activate a secure connection when at least one terminal logs in.

또한, 연결 관리 장치(610)는, 적어도 하나의 단말이 접근을 해제할 경우, 적어도 하나의 게이트웨이가 적어도 하나의 단말과 보안 연결이 해제되도록 적어도 하나의 게이트웨이의 연결을 제어할 수 있다. 다시 말해, 연결 관리 장치(610)는, 적어도 하나의 단말이 로그아웃할 경우, 적어도 하나의 게이트웨이로 보안 연결을 비활성화시킬 것을 명령하는 메시지를 송신할 수 있다. 즉, 연결 관리 장치(610)는, 적어도 하나의 단말의 연결 상황에 따라, 적어도 하나의 단말과 연결된 적어도 하나의 게이트웨이의 연결을 활성화 또는 비활성화하기 위한 제어를 수행할 수 있다.In addition, the connection management apparatus 610 may control the connection of the at least one gateway so that at least one gateway is disconnected from the at least one terminal when the at least one terminal releases the access. In other words, the connection management device 610 may send a message instructing at least one gateway to deactivate the secure connection when at least one terminal logs out. That is, the connection management apparatus 610 may perform control for activating or deactivating connection of at least one gateway connected to at least one terminal according to the connection status of at least one terminal.

통신 네트워크 내의 객체들은 복수개의 보안 연결 정보를 저장할 수 있다. 예를 들어, 각각의 보안 연결 정보는 Connection Name<Alias>, Left ID, Left, Left subnet, Left protocol port, Right ID, Right, Right subnet, Right protocol port 등의 값을 포함할 수 있다. 이때, Left 값은 Left 값을 저장하고 있는 객체의 IP 주소일 수 있다. 또한, Right 값은 Right 값을 저장하고 있는 객체가 연결할 수 있는 다른 객체의 IP 주소일 수 있다. 따라서, 연결 관리 장치(610)는 Left, Right 값에 기초하여 객체들의 연결을 제어할 수 있다.Objects in the communication network may store a plurality of security connection information. For example, each security connection information may include values such as Connection Name <Alias>, Left ID, Left, Left subnet, Left protocol port, Right ID, Right, Right subnet, and Right protocol port. At this time, the Left value may be the IP address of the object storing the Left value. Also, the Right value may be the IP address of another object to which the object storing the Right value can connect. Accordingly, the connection management apparatus 610 can control the connection of the objects based on the Left and Right values.

예를 들어, 도 6을 참고하면, 연결 관리 장치(610)는 제1 단말 보안 연결 정보(621), 제2 단말 보안 연결 정보(631), 제1 게이트웨이 보안 연결 정보(641), 제2 게이트웨이 보안 연결 정보(651)를 생성할 수 있다.6, the connection management apparatus 610 includes first terminal security connection information 621, second terminal security connection information 631, first gateway security connection information 641, Security association information 651 can be generated.

제1 단말 보안 연결 정보(621)는 제1 연결 정보(622), 제2 연결 정보(623)를 포함할 수 있다. 제1 보안 연결 정보(622)는 제1 Left 값 및 제1 Right 값을 포함할 수 있다. 제1 Left 값은 제1 단말(620)의 IP 주소를 포함할 수 있다. 제1 Right 값은 제1 게이트웨이(640)의 IP 주소를 포함할 수 있다. 또한, 제2 보안 연결 정보(631)는 제2 Left 값 및 제2 Right 값을 포함할 수 있다. 제2 Left 값은 제1 단말(620)의 IP 주소를 포함할 수 있다. 제2 Right 값은 제2 게이트웨이(650)의 IP 주소를 포함할 수 있다.The first terminal security association information 621 may include first connection information 622 and second connection information 623. The first security association information 622 may include a first Left value and a first Right value. The first Left value may include the IP address of the first terminal 620. The first Right value may include the IP address of the first gateway 640. Also, the second security connection information 631 may include a second left value and a second right value. The second Left value may include the IP address of the first terminal 620. And the second Right value may include the IP address of the second gateway 650. [

제2 단말 보안 연결 정보(631)는 제3 보안 연결 정보(632) 및 제4 보안 연결 정보(633)를 포함할 수 있다. 제3 보안 연결 정보(632)는 제3 Left 값 및 제3 Right 값을 포함할 수 있다. 제3 Left 값은 제2 단말(630)의 IP 주소를 포함할 수 있다. 제3 Right 값은 제1 게이트웨이(640)의 IP 주소를 포함할 수 있다. 또한, 제4 보안 연결 정보(633)는 제4 Left 값 및 제4 Right 값을 포함할 수 있다. 제4 Left 값은 제2 단말(630)의 IP 주소를 포함할 수 있다. 제4 Right 값은 제2 게이트웨이(650)의 IP 주소를 포함할 수 있다.The second terminal security association information 631 may include third security association information 632 and fourth security association information 633. [ The third security association information 632 may include a third left value and a third right value. The third Left value may include the IP address of the second terminal 630. The third Right value may include the IP address of the first gateway 640. In addition, the fourth security association information 633 may include a fourth left value and a fourth right value. And the fourth Left value may include the IP address of the second terminal 630. [ And the fourth Right value may include the IP address of the second gateway 650. [

제1 게이트웨이 보안 연결 정보(641)는 제5 보안 연결 정보(642) 및 제6 보안 연결 정보(643)를 포함할 수 있다. 제5 보안 연결 정보(642)는 제5 Left 값 및 제5 Right 값을 포함할 수 있다. 제5 Left 값은 제1 게이트웨이(640)의 IP 주소를 포함할 수 있다. 제5 Right 값은 제1 단말(620)의 IP 주소를 포함할 수 있다. 또한, 제6 보안 연결 정보(643)는 제6 Left 값 및 제6 Right 값을 포함할 수 있다. 제6 Left 값은 제1 게이트웨이(640)의 IP 주소를 포함할 수 있다. 제6 Right 값은 제2 단말(630)의 IP 주소를 포함할 수 있다.The first gateway security association information 641 may include fifth security association information 642 and sixth security association information 643. [ The fifth security association information 642 may include a fifth Left value and a fifth Right value. The fifth Left value may include the IP address of the first gateway 640. The fifth Right value may include the IP address of the first terminal 620. [ In addition, the sixth security association information 643 may include a sixth left value and a sixth right value. The sixth Left value may include the IP address of the first gateway 640. The sixth Right value may include the IP address of the second terminal 630. [

제2 게이트웨이 보안 연결 정보(651)는 제7 보안 연결 정보(652) 및 제8 보안 연결 정보(652)를 포함할 수 있다. 제7 보안 연결 정보(652)는 제7 Left 값 및 제7 Right 값을 포함할 수 있다. 제7 Left 값은 제2 게이트웨이(650)의 IP 주소를 포함할 수 있다. 제7 Right 값은 제1 단말(620)의 IP 주소를 포함할 수 있다. 또한, 제8 보안 연결 정보(652)는 제8 Left 값 및 제8 Right 값을 포함할 수 있다. 제8 Left 값은 제2 게이트웨이(650)의 IP 주소를 포함할 수 있다. 제8 Right 값은 제2 단말(630)의 IP 주소를 포함할 수 있다.The second gateway security association information 651 may include seventh security association information 652 and eighth security association information 652. [ The seventh security connection information 652 may include a seventh Left value and a seventh Right value. And the seventh Left value may include the IP address of the second gateway 650. [ The seventh Right value may include the IP address of the first terminal 620. [ The eighth security connection information 652 may include an eighth Left value and an eighth Right value. And the eighth Left value may include the IP address of the second gateway 650. [ The eighth Right value may include the IP address of the second terminal 630. [

연결 관리 장치(610)는 제1 단말 보안 연결 정보(621), 제2 단말 보안 연결 정보(631), 제1 게이트웨이 보안 연결 정보(641), 제2 게이트웨이 보안 연결 정보(651)에 기초하여, 제1 단말(620), 제2 단말(630), 제1 게이트웨이(640), 및 제2 게이트웨이(650)의 보안 연결을 제어할 수 있다.Based on the first terminal security connection information 621, the second terminal security connection information 631, the first gateway security connection information 641, and the second gateway security connection information 651, the connection management apparatus 610, May control the secure connection of the first terminal 620, the second terminal 630, the first gateway 640, and the second gateway 650.

도 6은 설명의 편의를 위하여 2개의 단말 보안 연결 정보, 2개의 게이트웨이 보안 연결 정보, 8개의 보안 연결 정보를 도시하고 있다. 그러나, 단말 보안 연결 정보 및 게이트웨이 연결 정보는 각각의 개수는 2개 미만이거나 3개 이상일 수 있다. 또한, 보안 연결 정보의 개수는 8개 미만이거나 9개 이상일 수 있다.FIG. 6 shows two terminal security connection information, two gateway security connection information, and eight security connection information for convenience of explanation. However, the number of the terminal security connection information and the gateway connection information may be less than two or three or more. Also, the number of secure connection information may be less than eight or more than nine.

도 7a 및 도 7b는 제4 실시예에 따른 통신 네트워크에서 통신 노드들간의 보안 연결을 위한 신호 흐름을 도시한 순서도이다.7A and 7B are flowcharts illustrating signal flows for secure connection between communication nodes in a communication network according to the fourth embodiment.

도 7a를 참고하면, 연결 관리 장치(710)는 제1 단말(720), 제2 단말(730), 제1 게이트웨이(740) 및 제2 게이트웨이(750)의 보안 연결을 제어할 수 있다. 여기서, 연결 관리 장치(710), 제1 단말(720), 제2 단말(730), 제1 게이트웨이(740) 및 제2 게이트웨이(750) 각각은, 도 6의 연결 관리 장치(610), 제1 단말(620), 제2 단말(630), 제1 게이트웨이(640) 및 제2 게이트웨이(650)와 동일 또는 유사하게 동작할 수 있다.7A, the connection management apparatus 710 may control the secure connection of the first terminal 720, the second terminal 730, the first gateway 740, and the second gateway 750. Each of the connection management apparatus 710, the first terminal 720, the second terminal 730, the first gateway 740 and the second gateway 750 includes the connection management apparatus 610, 1 terminal 620, the second terminal 630, the first gateway 640 and the second gateway 650. The first terminal 620, the second terminal 630,

연결 관리 장치(710)는 제1 단말(730)로부터 보안 연결 요청 신호를 수신할 수 있다(S701). 보안 연결 요청 신호는 제1 서버(미도시) 및 제2 서버(미도시)로 로그인을 요청하는 신호를 포함할 수 있다. 즉, 제1 단말(730)은 제1 서버 및 제2 서버에 접근을 요청하는 신호를 포함하는 로그인 요청 신호를 연결 관리 장치(710)로 송신할 수 있다. 제1 서버는 제1 게이트웨이(740)를 통해 연결될 수 있다. 제2 서버는 제2 게이트웨이(750)를 통해 연결될 수 있다. 로그인 요청 신호는 제1 단말(730)의 식별자를 포함할 수 있다. 연결 관리 장치(710)는 제1 단말(730)의 식별자에 기초하여 제1 단말(730)을 식별할 수 있다.The connection management apparatus 710 may receive the secure connection request signal from the first terminal 730 (S701). The secure connection request signal may include a signal requesting login to a first server (not shown) and a second server (not shown). That is, the first terminal 730 can transmit a login request signal including a signal requesting access to the first server and the second server to the connection management apparatus 710. The first server may be connected through the first gateway 740. And the second server may be connected through the second gateway 750. The login request signal may include the identifier of the first terminal 730. The connection management apparatus 710 can identify the first terminal 730 based on the identifier of the first terminal 730. [

연결 관리 장치(710)는 보안 연결을 결정할 수 있다(S702). 예를 들어, 연결 관리 장치(710)는 제1 단말(720)로부터 수신한 보안 연결 요청 신호에 기초하여 제1 단말(720)과 보안 연결될 통신 노드를 결정할 수 있다. 예를 들어, 연결 관리 장치(710)는 보안 연결 요청 신호가 제1 게이트웨이(740)에 보안 연결을 요청하는 신호를 포함할 경우, 제1 게이트웨이 보안 연결 정보에 기초하여, 제1 단말(720) 및 제1 게이트웨이(740)간의 보안 연결을 결정할 수 있다.The connection management apparatus 710 may determine a secure connection (S702). For example, the connection management apparatus 710 may determine a communication node to be securely connected to the first terminal 720 based on a security connection request signal received from the first terminal 720. For example, when the secure connection request signal includes a signal requesting a secure connection to the first gateway 740, the connection management apparatus 710 transmits the secure connection request signal to the first terminal 720 based on the first gateway security connection information, And the first gateway 740. [0033]

연결 관리 장치(710)는 제1 게이트웨이(740)로 보안 연결 활성화 요청 신호를 송신할 수 있다(S703). 연결 관리 장치(710)는 제1 게이트웨이(740)로 제1 보안 연결을 활성화할 것을 요청하는 제1 보안 연결 활성화 요청 신호를 송신할 수 있다. 여기서, 제1 보안 연결은 제1 단말(720) 및 제1 게이트웨이(740)간의 미리 정의된 제1 IPSec 터널(미도시)을 의미할 수 있다.The connection management apparatus 710 may transmit a secure connection activation request signal to the first gateway 740 (S703). The connection management apparatus 710 may transmit a first secure connection activation request signal requesting the first gateway 740 to activate the first secure connection. Here, the first secure connection may refer to a predefined first IPSec tunnel (not shown) between the first terminal 720 and the first gateway 740.

제1 게이트웨이(740)는 제1 보안 연결을 활성화할 수 있다(S704). 제1 게이트웨이(740)는 연결 관리 장치(710)로부터 수신한 제1 보안 연결 활성화 요청 신호에 따라, 제1 보안 연결을 활성화할 수 있다.The first gateway 740 may activate the first secure connection (S704). The first gateway 740 may activate the first security association according to the first security association activation request signal received from the connection management device 710. [

연결 관리 장치(710)는 제1 단말(720)로 제1 보안 연결을 활성화할 것을 요청하는 신호를 송신할 수 있다(S705). 연결 관리 장치(710)는 제1 단말(720)로 보안 연결 활성화 요청 신호를 송신할 수 있다. 연결 관리 장치(710)는 제1 단말(720)로 제1 보안 연결을 활성화할 것을 요청하는 제1 보안 연결 활성화 요청 신호를 송신할 수 있다.The connection management apparatus 710 may transmit a signal requesting the first terminal 720 to activate the first secure connection (S705). The connection management apparatus 710 may transmit a secure connection activation request signal to the first terminal 720. The connection management apparatus 710 may transmit a first secure connection activation request signal requesting the first terminal 720 to activate the first secure connection.

제1 단말(720)은 제1 보안 연결을 활성화할 수 있다(S706). 제1 단말(720)은 연결 관리 장치(710)로부터 수신한 제1 보안 연결 활성화 요청 신호에 따라, 제1 보안 연결을 활성화할 수 있다.The first terminal 720 may activate the first secure connection (S706). The first terminal 720 may activate the first secure connection according to the first secure connection activation request signal received from the connection management apparatus 710. [

제1 단말(720) 및 제1 게이트웨이(740)는 제1 보안 연결을 통해 데이터를 송수신할 수 있다(S707). 제1 단말(720)은 제1 보안 연결을 통해 제1 게이트웨이(740)와 연결된 제1 서버(미도시)에 접근할 수 있다. 예를 들어, 즉, 제1 단말(720)은 제1 보안 연결을 통해 제1 서버와 클라우드 서비스 데이터를 송수신할 수 있다.The first terminal 720 and the first gateway 740 can transmit and receive data through the first secure connection (S707). The first terminal 720 may access a first server (not shown) connected to the first gateway 740 via a first secure connection. For example, the first terminal 720 can transmit and receive cloud service data to and from the first server via the first secure connection.

연결 관리 장치(710)는 제2 게이트웨이(750)로 보안 연결 활성화 요청 신호를 송신할 수 있다(S708). 연결 관리 장치(710)는 제2 게이트웨이(750)로 제2 보안 연결을 활성화할 것을 요청하는 제2 보안 연결 활성화 요청 신호를 송신할 수 있다. 여기서, 제2 보안 연결은 제1 단말(720) 및 제2 게이트웨이(750)간의 미리 정의된 제2 IPSec 터널(미도시)을 의미할 수 있다.The connection management apparatus 710 may transmit a secure connection activation request signal to the second gateway 750 (S708). The connection management device 710 may send a second secure connection activation request signal requesting the second gateway 750 to activate the second security connection. Here, the second secure connection may mean a predefined second IPSec tunnel (not shown) between the first terminal 720 and the second gateway 750.

제2 게이트웨이(750)는 제2 보안 연결을 활성화할 수 있다(S709). 제2 게이트웨이(750)는 제2 보안 연결 활성화 요청 신호에 따라, 제2 보안 연결을 활성화할 수 있다.The second gateway 750 may activate the second secure connection (S709). The second gateway 750 can activate the second security connection according to the second security association activation request signal.

연결 관리 장치(710)는 제1 단말(720)로 보안 연결 활성화 요청 신호를 송신할 수 있다(S710). 연결 관리 장치(710)는 제1 단말(720)로 제2 보안 연결을 활성화할 것을 요청하는 제2 보안 연결 활성화 요청 신호를 송신할 수 있다(S710).The connection management apparatus 710 may transmit a secure connection activation request signal to the first terminal 720 (S710). The connection management apparatus 710 may transmit a second secure connection activation request signal requesting the first terminal 720 to activate the second secure connection (S710).

제1 단말(720)은 제2 보안 연결을 활성화할 수 있다(S711). 제1 단말(720)은 제2 보안 연결 활성화 요청 신호에 따라, 제2 보안 연결을 활성화할 수 있다.The first terminal 720 may activate the second secure connection (S711). The first terminal 720 may activate a second secure connection according to a second secure connection activation request signal.

제1 단말(720) 및 제2 게이트웨이(750)는 제2 보안 연결을 통해 데이터를 송수신할 수 있다(S712). 제1 단말(720)은 제2 보안 연결을 통해 제2 게이트웨이(750)와 연결된 제2 서버(미도시)에 접근할 수 있다. 예를 들어, 즉, 제1 단말(720)은 제2 보안 연결을 통해 제2 서버와 클라우드 서비스 데이터를 송수신할 수 있다.The first terminal 720 and the second gateway 750 can transmit and receive data through the second secure connection (S712). The first terminal 720 may access a second server (not shown) connected to the second gateway 750 via a second secure connection. For example, the first terminal 720 can transmit and receive cloud service data to and from the second server via the second secure connection.

도 7b를 참고하면, 연결 관리 장치(710)는 제1 단말(720)로부터 보안 연결 해제 요청 신호를 수신할 수 있다(S713). 보안 연결 해제 요청 신호는 제1 서버 및 제2 서버로부터 로그아웃을 요청하는 신호를 포함할 수 있다. 즉, 제1 단말(720)은 제1 서버 및 제2 서버로부터의 접근 해제를 요청하는 신호를 연결 관리 장치(710)로 송신할 수 있다.Referring to FIG. 7B, the connection management apparatus 710 may receive a secure connection release request signal from the first terminal 720 (S713). The secure connection release request signal may include a signal requesting logout from the first server and the second server. That is, the first terminal 720 can transmit a signal requesting the access cancellation from the first server and the second server to the connection management apparatus 710.

연결 관리 장치(710)는 보안 연결 해제를 결정할 수 있다(S714). 예를 들어, 연결 관리 장치(710)는 제1 단말(720)로부터 수신한 보안 연결 해제 요청 신호에 기초하여 제1 단말(720)과 보안 연결 해제될 통신 노드를 결정할 수 있다. 예를 들어, 연결 관리 장치(710)는 보안 연결 해제 요청 신호가 제1, 2 게이트웨이(740, 750)와 보안 연결 해제를 요청하는 신호를 포함할 경우, 제1 단말 보안 연결 정보, 제1 게이트웨이 보안 연결 정보 및 제2 게이트웨이 보안 연결 정보 중 적어도 하나에 기초하여, 제1 단말(720) 및 제1, 2 게이트웨이(740, 750)간의 보안 연결 해제를 결정할 수 있다.The connection management apparatus 710 may determine to cancel the secure connection (S714). For example, the connection management apparatus 710 may determine a communication node to be securely disconnected from the first terminal 720 based on a secure connection release request signal received from the first terminal 720. For example, when the secure connection release request signal includes a signal requesting the secure connection release with the first and second gateways 740 and 750, the connection management apparatus 710 may transmit the first terminal security connection information, The secure connection between the first terminal 720 and the first and second gateways 740 and 750 may be determined based on at least one of the security connection information and the second gateway security connection information.

연결 관리 장치(710)는 제1 게이트웨이(740)로 보안 연결 비활성화 요청 신호를 송신할 수 있다(S715). 예를 들어, 연결 관리 장치(710)는 제1 게이트웨이(740)로 제1 보안 연결을 비활성화할 것을 요청하는 제1 보안 연결 비활성화 요청 신호를 송신할 수 있다.The connection management apparatus 710 may transmit a security connection deactivation request signal to the first gateway 740 (S715). For example, the connection management device 710 may send a first secure connection deactivation request signal requesting the first gateway 740 to deactivate the first secure connection.

제1 게이트웨이(740)는 제1 보안 연결을 비활성할 수 있다(S716). 제1 게이트웨이(740)는 연결 관리 장치(710)로부터 제1 보안 연결 비활성화 요청 신호를 수신할 경우, 제1 보안 연결을 해제할 수 있다. 이때, 제1 게이트웨이(740)는 제1 게이트웨이 보안 연결 정보에 기초하여 제1 보안 연결을 해제할 수 있다.The first gateway 740 may disable the first secure connection (S716). When the first gateway 740 receives the first secure connection deactivation request signal from the connection management apparatus 710, the first gateway 740 can release the first secure connection. At this time, the first gateway 740 can release the first security connection based on the first gateway security connection information.

연결 관리 장치(710)는 제2 게이트웨이(750)로 보안 연결 비활성화 요청 신호를 송신할 수 있다(S717). 예를 들어, 연결 관리 장치(710)는 제2 게이트웨이(750)로 제2 보안 연결을 해제할 것을 요청하는 제2 보안 연결 비활성화 요청 신호를 송신할 수 있다.The connection management apparatus 710 may transmit a security connection deactivation request signal to the second gateway 750 (S717). For example, the connection management device 710 may send a second secure connection deactivation request signal requesting the second gateway 750 to release the second secure connection.

제2 게이트웨이(750)는 제2 보안 연결을 비활성화할 수 있다(S718). 제2 게이트웨이(750)는 연결 관리 장치(710)로부터 제2 보안 연결 비활성화 요청 신호를 수신할 경우, 제2 보안 연결을 해제할 수 있다. 제2 게이트웨이(750)는 제2 게이트웨이 보안 연결 정보에 기초하여 제2 보안 연결을 해제할 수 있다.The second gateway 750 may disable the second secure connection (S718). When the second gateway 750 receives the second secure connection deactivation request signal from the connection management apparatus 710, the second gateway 750 can release the second secure connection. The second gateway 750 may release the second security connection based on the second gateway security connection information.

연결 관리 장치(710)는 제1 단말(720)로 보안 연결 비활성화 요청 신호를 송신할 수 있다(S719). 예를 들어, 연결 관리 장치(710)는 제1 단말(720)로 제1 보안 연결 및 제2 보안 연결을 해제할 것을 요청하는 제2 보안 연결 비활성화 요청 신호를 송신할 수 있다.The connection management apparatus 710 may transmit a security connection deactivation request signal to the first terminal 720 (S719). For example, the connection management apparatus 710 may transmit a second secure connection deactivation request signal requesting the first terminal 720 to release the first secure connection and the second secure connection.

제1 단말(720)은 제1, 2 보안 연결을 비활성화할 수 있다(S720). 제1 단말(720)은 연결 관리 장치(710)로부터 보안 연결 비활성화 요청 신호를 수신할 경우, 제1 보안 연결 및 제2 보안 연결을 해제할 수 있다. 이때, 제1 단말(720)은 제1 단말 보안 연결 정보에 기초하여 제1 보안 연결 및 제2 보안 연결을 해제할 수 있다.The first terminal 720 may disable the first and second security connections (S720). When the first terminal 720 receives the security connection deactivation request signal from the connection management apparatus 710, the first terminal 720 can release the first security connection and the second security connection. At this time, the first terminal 720 can release the first security connection and the second security connection based on the first terminal security connection information.

연결 관리 장치(710)는 보안 연결 비활성화 요청 신호를 제1 단말(720), 제1 게이트웨이(730) 및 제2 게이트웨이(740)로 동시에 송신할 수 있다. 이때, 제1 단말(720), 제1 게이트웨이(730) 및 제2 게이트웨이(740)는 동시에 각각의 보안 연결을 비활성화할 수 있다.The connection management apparatus 710 may simultaneously transmit a secure connection deactivation request signal to the first terminal 720, the first gateway 730, and the second gateway 740. At this time, the first terminal 720, the first gateway 730, and the second gateway 740 can simultaneously disable respective security associations.

도 8은 제5 실시예에 따른 통신 네트워크를 도시한 개념도이다.8 is a conceptual diagram showing a communication network according to the fifth embodiment.

제5 실시예에 따른 연결 관리 장치(810)는 보안 연결된 복수개의 통신 노드들의 보안 연결 정보를 그룹핑(grouping)하여 관리할 수 있다. 예를 들어, 연결 관리 장치(810)는 통신 노드가 조직 변경에 따라 접근 권한이 변경될 경우, 통신 노드에 대한 접근 제어를 유연하게 적용할 수 있다. 또한, 연결 관리 장치(810)는 각각의 보안 연결 정보를 그룹핑하여 관리함으로써, 통신 노드의 교체 또는 통신 노드의 부하 분산에 따른 유연한 제어가 가능하다.The connection management apparatus 810 according to the fifth embodiment can group and manage security connection information of a plurality of securely connected communication nodes. For example, the connection management apparatus 810 can flexibly apply access control to the communication node when the access right is changed according to the organizational change. In addition, the connection management apparatus 810 groups and manages each security connection information, thereby enabling flexible control according to replacement of communication nodes or load distribution of communication nodes.

도 8을 참고하면, 통신 네트워크는 연결 관리 장치(810), 제1 단말(820), 제2 단말(830), 제1 게이트웨이(840), 제2 게이트웨이(850), 제1 서버(860) 및 제2 서버(870), 클라우드 네트워크(880)를 포함할 수 있다. 여기서, 연결 관리 장치(810), 제1 단말(820), 제2 단말(830), 제1 게이트웨이(840), 제2 게이트웨이(850) 각각은, 도 6의 연결 관리 장치(610), 제1 단말(620), 제2 단말(630), 제1 게이트웨이(640), 제2 게이트웨이(650)와 동일 또는 유사하게 동작할 수 있다.8, the communication network includes a connection management apparatus 810, a first terminal 820, a second terminal 830, a first gateway 840, a second gateway 850, a first server 860, And a second server 870, a cloud network 880, and the like. Each of the connection management apparatus 810, the first terminal 820, the second terminal 830, the first gateway 840 and the second gateway 850 includes the connection management apparatus 610, 1 terminal 620, the second terminal 630, the first gateway 640, and the second gateway 650. [

제1 서버(860)는 제1 클라우드 서비스를 제공하는 서비스 제공자가 운용하는 서버일 수 있다. 제2 서버(870)는 제2 클라우드 서비스를 제공하는 서비스 제공자가 운용하는 서버일 수 있다. 클라우드 네트워크(880)는 제1 서버(860) 및 제2 서버(870)를 포함할 수 있다.The first server 860 may be a server operated by a service provider providing the first cloud service. The second server 870 may be a server operated by a service provider providing the second cloud service. The cloud network 880 may include a first server 860 and a second server 870.

연결 관리 장치(810)는 적어도 하나의 단말의 보안 연결 정보 및 적어도 하나의 게이트웨이의 보안 연결 정보를 그룹핑(grouping)하여 관리할 수 있다. 예를 들어, 연결 관리 장치(810)는 제1 보안 연결 정보(822), 제3 보안 연결 정보(832), 제5 보안 연결 정보(842), 제6 보안 연결 정보(843)를 포함하는 제1 그룹 보안 연결 정보(811)를 생성할 수 있다.The connection management apparatus 810 can group and manage security association information of at least one terminal and security association information of at least one gateway. For example, the connection management apparatus 810 may include a first security association information 822, a third security association information 832, a fifth security association information 842, and a sixth security association information 843, 1 group security connection information 811. [

연결 관리 장치(810)는 제1 그룹 보안 연결 정보(811)에 기초하여 제1 그룹 보안 연결 정보에 대응되는 제1 단말(820), 제2 단말(830) 및 제1 게이트웨이(840)의 보안 연결을 그룹핑하여 관리할 수 있다. 예를 들어, 제1 게이트웨이(840), 제1 단말(820) 및 제2 단말(830)는 제1 그룹으로 지칭될 수 있다. 연결 관리 장치(810)는 제1 그룹의 접근 제어(813)를 일괄적으로 수행할 수 있다.The connection management apparatus 810 determines the security of the first terminal 820, the second terminal 830 and the first gateway 840 corresponding to the first group security connection information based on the first group security connection information 811 Connections can be grouped and managed. For example, the first gateway 840, the first terminal 820, and the second terminal 830 may be referred to as a first group. The connection management apparatus 810 can collectively perform the first group of access control 813. [

도 9a 및 도 9b는 제5 실시예에 따른 통신 네트워크에서 통신 노드들간의 그룹 보안 연결을 위한 신호 흐름을 도시한 순서도이다.9A and 9B are flowcharts illustrating signal flow for group security connection between communication nodes in a communication network according to the fifth embodiment.

도 9a를 참고하면, 통신 네트워크는 연결 관리 장치(910), 제1 단말(920), 제2 단말(930), 제1 게이트웨이(940) 및 제2 게이트웨이(950)를 포함할 수 있다. 여기서, 연결 관리 장치(910), 제1 단말(920), 제2 단말(930), 제1 게이트웨이(940) 및 제2 게이트웨이(950) 각각은, 도 8의 연결 관리 장치(810), 제1 단말(820), 제2 단말(830), 제1 게이트웨이(840) 및 제2 게이트웨이(950)와 동일 또는 유사하게 동작할 수 있다.9A, the communication network may include a connection management device 910, a first terminal 920, a second terminal 930, a first gateway 940, and a second gateway 950. Each of the connection management apparatus 910, the first terminal 920, the second terminal 930, the first gateway 940 and the second gateway 950 includes the connection management apparatus 810, 1 terminal 820, the second terminal 830, the first gateway 840 and the second gateway 950. [

연결 관리 장치(910)는 보안 연결 정보를 그룹핑할 수 있다(S901). 연결 관리 장치(910)는 적어도 하나의 단말의 보안 연결 정보 및 적어도 하나의 게이트웨이의 보안 연결 정보를 그룹핑하여 관리할 수 있다. 예를 들어, 연결 관리 장치(910)는 제1 단말(920)에 대한 제1 보안 연결 정보, 제2 단말(930)에 대한 제3 보안 연결 정보 및 제1 게이트웨이(940)에 대한 제5, 제6 보안 연결 정보를 포함하는 제1 그룹 보안 연결 정보를 생성할 수 있다.The connection management apparatus 910 may group the security connection information (S901). The connection management apparatus 910 can group and manage security association information of at least one terminal and security association information of at least one gateway. For example, the connection management device 910 may include first security association information for the first terminal 920, third security association information for the second terminal 930, and fifth, And generate first group security association information including the sixth security association information.

연결 관리 장치(910)는 그룹 보안 연결을 결정할 수 있다(S902). 예를 들어, 연결 관리 장치(910)는 제1 그룹 보안 연결 정보에 기초하여, 제1 단말(920), 제2 단말(930) 및 제1 게이트웨이(940)를 포함하는 제1 그룹에 대한 보안 연결을 활성화할 것을 결정할 수 있다.The connection management apparatus 910 can determine a group security connection (S902). For example, the connection management apparatus 910 may determine, based on the first group security connection information, security for the first group including the first terminal 920, the second terminal 930 and the first gateway 940 You can decide to activate the connection.

연결 관리 장치(910)는 제1 그룹에 포함되는 제1 게이트웨이(940)로 보안 연결 활성화 요청 신호를 송신할 수 있다(S903). 연결 관리 장치(910)는 제1 게이트웨이(940)로 보안 연결 활성화 요청 신호와 제1 그룹 보안 연결 정보를 동시에 송신할 수 있다.The connection management apparatus 910 may transmit a secure connection activation request signal to the first gateway 940 included in the first group (S903). The connection management apparatus 910 may simultaneously transmit the security association activation request signal and the first group security connection information to the first gateway 940.

제1 게이트웨이(940)는 제1 보안 연결 및 제2 보안 연결을 활성화할 수 있다(S904). 제1 게이트웨이(940)는 연결 관리 장치(910)로부터 보안 연결 활성화 요청 신호를 수신할 경우, 기저장된 제1 게이트웨이 보안 연결 정보 또는 연결 관리 장치(910)로부터 수신한 제1 그룹 보안 연결 정보에 기초하여 제1 보안 연결 및 제2 보안 연결을 활성화할 수 있다.The first gateway 940 may activate the first secure connection and the second secure connection (S904). When the first gateway 940 receives the security association activation request signal from the connection management apparatus 910, the first gateway 940 transmits the first gateway security association information based on the previously stored first gateway security association information or the first group security association information received from the connection management apparatus 910 To activate the first secure connection and the second secure connection.

연결 관리 장치(910)는 제1 그룹에 포함되는 제1 단말(920)로 보안 연결 활성화 요청 신호를 송신할 수 있다(S905). 연결 관리 장치(910)는 제1 단말(920)로 보안 연결 활성화 요청 신호와 제1 그룹 보안 연결 정보를 동시에 송신할 수 있다.The connection management apparatus 910 may transmit a secure connection activation request signal to the first terminal 920 included in the first group (S905). The connection management apparatus 910 can simultaneously transmit the security association activation request signal and the first group security connection information to the first terminal 920. [

제1 단말(920)은 제1 보안 연결을 활성화할 수 있다(S906). 제1 게이트웨이(940)는 연결 관리 장치(910)로부터 보안 연결 활성화 요청 신호를 수신할 경우, 기저장된 제1 단말 보안 연결 정보 또는 연결 관리 장치(910)로부터 수신한 제1 그룹 보안 연결 정보에 기초하여 제1 보안 연결을 활성화할 수 있다.The first terminal 920 may activate the first secure connection (S906). When the first gateway 940 receives the security association activation request signal from the connection management apparatus 910, the first gateway 940 transmits the first terminal security association information based on the previously stored first terminal security association information or the first group security association information received from the connection management apparatus 910 To activate the first secure connection.

제1 단말(920) 및 제1 게이트웨이(940)는 제1 보안 연결을 통해 데이터를 송수신할 수 있다(S907). 제1 단말(920)은 제1 보안 연결을 통해 제1 게이트웨이(940)와 연결된 제1 서버(미도시)에 접근할 수 있다. 제1 단말(920)은 제1 보안 터널을 통해 제1 서버와 클라우드 서비스 데이터를 송수신할 수 있다.The first terminal 920 and the first gateway 940 can transmit and receive data through the first secure connection (S907). The first terminal 920 may access a first server (not shown) connected to the first gateway 940 via a first secure connection. The first terminal 920 can transmit and receive cloud service data to and from the first server through the first secure tunnel.

연결 관리 장치(910)는 제1 그룹에 포함되는 제2 단말(930)로 보안 연결 활성화 요청 신호를 송신할 수 있다(S908). 연결 관리 장치(910)는 제2 단말(930)로 보안 연결 활성화 요청 신호와 제1 그룹 보안 연결 정보를 동시에 송신할 수 있다.The connection management apparatus 910 may transmit a secure connection activation request signal to the second terminal 930 included in the first group (S908). The connection management apparatus 910 can simultaneously transmit the security association activation request signal and the first group security connection information to the second terminal 930. [

제2 단말(930)은 제2 보안 연결을 활성화할 수 있다(S909). 제2 단말(930)은 연결 관리 장치(910)로부터 보안 연결 활성화 요청 신호를 수신할 경우, 기저장된 제2 단말 보안 연결 정보 또는 연결 관리 장치(910)로부터 수신한 제1 그룹 보안 연결 정보에 기초하여 제2 보안 연결을 활성화할 수 있다.The second terminal 930 may activate the second secure connection (S909). When the second terminal 930 receives the security association activation request signal from the connection management apparatus 910, the second terminal 930 transmits the second terminal security association information based on the previously stored first terminal security association information or the first group security association information received from the connection management apparatus 910 To activate the second secure connection.

제2 단말(930) 및 제1 게이트웨이(940)는 제2 보안 연결을 통해 데이터를 송수신할 수 있다(S910). 제2 단말(930)은 제2 보안 연결을 통해 제1 게이트웨이(940)와 연결된 제2 서버(미도시)에 접근할 수 있다. 제2 단말(930)은 제2 보안 연결을 통해 제2 서버와 클라우드 서비스 데이터를 송수신할 수 있다.The second terminal 930 and the first gateway 940 can transmit and receive data through the second secure connection (S910). The second terminal 930 may access a second server (not shown) connected to the first gateway 940 via a second secure connection. The second terminal 930 can transmit and receive cloud service data to and from the second server through the second secure connection.

도 9b를 참고하면, 연결 관리 장치(910)는 그룹 보안 연결의 비활성화를 결정할 수 있다(S911). 예를 들어, 연결 관리 장치(910)는 제1 그룹에 대한 보안 연결을 비활성화할 것을 결정할 수 있다. 예를 들어, 연결 관리 장치(910)는 제1 그룹에 포함된 제1 단말(920), 제2 단말(930), 제1 게이트웨이(940) 중 적어도 하나의 연결 상태를 감시할 수 있다. 연결 관리 장치(910)는 제1 단말(920), 제2 단말(930), 제1 게이트웨이(940) 중 적어도 하나의 연결이 해제될 경우, 제1 그룹에 포함된 모든 통신 노드에 대한 보안 연결을 비활성화할 것을 결정할 수 있다.Referring to FIG. 9B, the connection management apparatus 910 may determine to disable the group security connection (S911). For example, the connection management device 910 may decide to deactivate the secure connection to the first group. For example, the connection management apparatus 910 may monitor the connection status of at least one of the first terminal 920, the second terminal 930, and the first gateway 940 included in the first group. When at least one of the first terminal 920, the second terminal 930 and the first gateway 940 is disconnected, the connection management apparatus 910 transmits a security association for all the communication nodes included in the first group 920, May be deactivated.

연결 관리 장치(910)는 제1 게이트웨이(940)로 보안 연결 비활성화 요청 신호를 송신할 수 있다(S912). 제1 게이트웨이(940)는 연결 관리 장치(910)로부터 수신된 보안 연결 비활성화 요청 신호에 따라 제1 보안 연결 및 제2 보안 연결을 비활성화할 수 있다(S913).The connection management apparatus 910 may transmit a security connection deactivation request signal to the first gateway 940 (S912). The first gateway 940 may disable the first security connection and the second security connection according to the security connection deactivation request signal received from the connection management device 910 (S913).

연결 관리 장치(910)는 제1 단말(920)로 보안 연결 비활성화 요청 신호를 송신할 수 있다(S914). 제1 단말(920)은 연결 관리 장치(910)로부터 수신된 보안 연결 비활성화 요청 신호에 따라 제1 보안 연결을 비활성화할 수 있다(S915).The connection management apparatus 910 may transmit a security connection deactivation request signal to the first terminal 920 (S914). The first terminal 920 may disable the first security connection according to the security connection deactivation request signal received from the connection management apparatus 910 (S915).

연결 관리 장치(910)는 제2 단말(930)로 보안 연결 비활성화 요청 신호를 송신할 수 있다(S916). 제2 단말(930)은 연결 관리 장치(910)로부터 수신된 보안 연결 비활성화 요청 신호에 따라 제2 보안 연결을 비활성화할 수 있다(S917).The connection management apparatus 910 may transmit a security connection deactivation request signal to the second terminal 930 (S916). The second terminal 930 may disable the second security connection according to the security connection deactivation request signal received from the connection management apparatus 910 (S917).

본 발명에 따른 방법들은 다양한 컴퓨터 수단을 통해 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 본 발명을 위해 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.The methods according to the present invention can be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the computer readable medium may be those specially designed and constructed for the present invention or may be available to those skilled in the computer software.

컴퓨터 판독 가능 매체의 예에는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 적어도 하나의 소프트웨어 모듈로 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of computer readable media include hardware devices that are specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate with at least one software module to perform the operations of the present invention, and vice versa.

이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined in the appended claims. It will be possible.

Claims (1)

통신 네트워크에서 단말과 게이트웨이 간의 연결을 관리하는 통신 노드로서,
프로세서(processor); 및
상기 프로세서에 의해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)를 포함하며,
상기 적어도 하나의 명령은,
상기 단말로부터 상기 게이트웨이에 대한 보안 연결을 요청하는 신호를 수신하고;
기 저장된 단말 보안 연결 정보 및 게이트웨이 보안 연결 정보에 기초하여 보안 연결을 결정하고; 그리고
상기 단말 및 상기 게이트웨이로 보안 연결 활성화 요청 신호를 송신하도록 실행되는, 통신 노드.1. A communication node for managing connection between a terminal and a gateway in a communication network,
A processor; And
Wherein at least one instruction executed by the processor comprises a stored memory,
Wherein the at least one instruction comprises:
Receiving a signal from the terminal requesting a secure connection to the gateway;
Determining a security association based on the stored terminal security association information and the gateway security association information; And
And to send a secure connection activation request signal to the terminal and the gateway.
KR1020170144732A 2017-11-01 2017-11-01 Apparatus and method for managing security connection in communication network KR102144884B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170144732A KR102144884B1 (en) 2017-11-01 2017-11-01 Apparatus and method for managing security connection in communication network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170144732A KR102144884B1 (en) 2017-11-01 2017-11-01 Apparatus and method for managing security connection in communication network

Publications (2)

Publication Number Publication Date
KR20190049170A true KR20190049170A (en) 2019-05-09
KR102144884B1 KR102144884B1 (en) 2020-08-14

Family

ID=66546796

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170144732A KR102144884B1 (en) 2017-11-01 2017-11-01 Apparatus and method for managing security connection in communication network

Country Status (1)

Country Link
KR (1) KR102144884B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160091625A (en) * 2015-01-26 2016-08-03 한국전자통신연구원 System and method for controlling for hierarchical network
KR20170076861A (en) * 2015-12-24 2017-07-05 (주)소만사 Control method of access to cloud service for business

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160091625A (en) * 2015-01-26 2016-08-03 한국전자통신연구원 System and method for controlling for hierarchical network
KR20170076861A (en) * 2015-12-24 2017-07-05 (주)소만사 Control method of access to cloud service for business

Also Published As

Publication number Publication date
KR102144884B1 (en) 2020-08-14

Similar Documents

Publication Publication Date Title
US8885649B2 (en) Method, apparatus, and system for implementing private network traversal
CN109672708B (en) Communication method, device and system
JP7296993B2 (en) Communication method and communication device
WO2018050007A1 (en) Method and apparatus for accessing local network by user terminal and computer storage medium
EP3404878A1 (en) Virtual network apparatus, and related method
CN106572517A (en) Network slice processing method, access network selecting method and apparatus
EP3611962A1 (en) Quality of service control method, device, and system
JP6468618B2 (en) Method, apparatus, and system for enhancing parallel processing capability of a wireless local area network
CN114205926B (en) Control device and storage medium
CN105591971A (en) QoS implementation method and device
CN106464596A (en) Openflow communication method, system, controller, and service gateway
CN109450905A (en) Transmit the method and apparatus and system of data
CN113839995A (en) Cross-domain resource management system, method, device and storage medium
US10581738B2 (en) Efficient inter-VLAN routing in openflow networks
CN114500176B (en) Multi-flow load balancing method, device and system for VPN and storage medium
US20150047009A1 (en) Access control method, access control system and access control device
JP2021010100A (en) Method, system, and program for relay
US9860171B2 (en) Large scale message routing in a distributed network
US20170053136A1 (en) Policy-based trusted peer-to-peer connections
CN111245637B (en) Generating application-based proxy autoconfiguration
KR102144884B1 (en) Apparatus and method for managing security connection in communication network
KR102474855B1 (en) Method, system and non-transitory computer-readable recording medium for providing messenger service
CN109661796B (en) Network intercommunication method, network element and system
KR20230017311A (en) Method, apparatus and system for determining user plane security enforcement information
US11032389B1 (en) Applying application-based policy rules using a programmable application cache

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant