KR20190049170A - Apparatus and method for managing security connection in communication network - Google Patents
Apparatus and method for managing security connection in communication network Download PDFInfo
- Publication number
- KR20190049170A KR20190049170A KR1020170144732A KR20170144732A KR20190049170A KR 20190049170 A KR20190049170 A KR 20190049170A KR 1020170144732 A KR1020170144732 A KR 1020170144732A KR 20170144732 A KR20170144732 A KR 20170144732A KR 20190049170 A KR20190049170 A KR 20190049170A
- Authority
- KR
- South Korea
- Prior art keywords
- gateway
- terminal
- connection
- information
- security
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 통신 네트워크 기술에 관한 것으로, 더욱 상세하게는 통신 네트워크에서 보안 연결을 관리하기 위한 장치 및 방법에 관한 것이다.The present invention relates to communication network technology, and more particularly, to an apparatus and method for managing a secure connection in a communication network.
최근 클라우드(cloud) 시스템의 발전으로 사설 및 공공 클라우드 서비스 시스템의 구축 및 운용이 크게 증가하고 있다. 클라우드 시스템이란, 인터넷 기술을 활용하여 '가상화된 정보통신 자원'을 서비스로 제공하는 시스템을 의미한다. 사용자는 소프트웨어, 스토리지, 서버, 네트워크 등의 정보통신 자원을 필요한 만큼 빌려서 사용할 수 있다. 사용자는 서비스 부하에 따라서 실시간 확장성을 지원받을 수 있다. 또한, 사용자는 사용한 만큼 비용을 지불할 수 있다.With the recent development of cloud systems, the construction and operation of private and public cloud service systems have increased significantly. A cloud system means a system that provides 'virtualized information communication resources' as a service by utilizing Internet technology. Users can borrow and use information and communications resources such as software, storage, servers, and networks as much as necessary. Users can receive real-time scalability according to service load. In addition, the user can pay as much as he or she uses.
클라우드 시스템은 공통의 물리적인 시스템 기반 위에 다양한 서비스를 탑재하여 사용자에게 서비스를 제공하는 형태로 운용되고 있다. 따라서, 클라우드 시스템을 제공하는 사업자는 다양한 서비스에 대한 관리와 사용자 및 단말의 접근제어(access control)를 위해 소프트웨어적으로 동작하는 네트워크 차원의 접근제어 방식을 필요로 한다.The cloud system is operated in a form of providing services to users by loading various services on a common physical system base. Accordingly, a provider providing a cloud system needs a network-level access control method that operates in software for managing various services and for access control of users and terminals.
하지만, 기존의 네트워크 접근제어 방식은 각각의 게이트웨이 또는 각각의 VPN(virtual private network) 장비에 대한 접근제어를 위한 연결 설정만 가능하다. 또한, 기존의 네트워크 접근제어 방식은 각각의 게이트웨이 또는 각각의 VPN 장비에 대한 모니터링 기능만 수행할 수 있다. 또한, 기존의 네트워크 접근제어 방식은 네트워크에 접근하는 노드들이 상호간에 보안 연결을 직접 설정하므로 보호를 위한 노드가 악의적인 공격에 노출될 수 있는 문제점이 있다.However, the conventional network access control method is only capable of establishing a connection for access control to each gateway or each virtual private network (VPN) device. In addition, the existing network access control method can perform only the monitoring function for each gateway or each VPN device. In addition, the conventional network access control method has a problem in that a node for protection may be exposed to a malicious attack because the nodes accessing the network directly establish a security connection with each other.
상술한 문제점을 해결하기 위한 본 발명의 목적은 단말, 게이트웨이 및 서버간의 네트워크 접근제어를 위한 온디맨드(on demand) 방식의 동적 보안 연결 관리를 위한 장치 및 방법을 제공하는 것이다.SUMMARY OF THE INVENTION An object of the present invention is to provide an apparatus and method for on-demand dynamic security connection management for network access control between a terminal, a gateway and a server.
상술한 목적을 달성하기 위한 본 발명의 일 실시예는 통신 네트워크에서 단말과 게이트웨이 간의 연결을 관리하는 통신 노드를 제공한다. 상기 통신 노드는, 프로세서(processor); 및 상기 프로세서에 의해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)를 포함하며, 상기 적어도 하나의 명령은, 상기 단말로부터 상기 게이트웨이에 대한 보안 연결을 요청하는 신호를 수신하고; 기 저장된 단말 보안 연결 정보 및 게이트웨이 보안 연결 정보에 기초하여 보안 연결을 결정하고; 그리고 상기 단말 및 상기 게이트웨이로 보안 연결 활성화 요청 신호를 송신하도록 실행되된다. According to an aspect of the present invention, there is provided a communication node for managing a connection between a terminal and a gateway in a communication network. The communication node comprising: a processor; And a memory in which at least one instruction executed by the processor is stored, wherein the at least one instruction comprises: receiving a signal from the terminal requesting a secure connection to the gateway; Determining a security association based on the stored terminal security association information and the gateway security association information; And transmits a security association activation request signal to the terminal and the gateway.
상기 통신 노드에 있어서, 상기 단말 보안 연결 정보는, 상기 단말의 장비 정보에 기초하여 생성되고, 상기 게이트웨이 보안 연결 정보는 상기 게이트웨이의 장비 정보에 기초하여 생성될 수 있다.In the communication node, the terminal security connection information may be generated based on equipment information of the terminal, and the gateway security connection information may be generated based on equipment information of the gateway.
상기 통신 노드에 있어서, 상기 단말의 장비 정보는, 상기 단말의 식별자(identifier), 상기 단말의 인증 방법에 관한 정보, 상기 단말의 인터넷 프로토콜 주소, 상기 단말의 서브넷(subnet) 정보 중 적어도 하나를 포함하고, 상기 게이트웨이의 장비 정보는, 상기 게이트웨이의 식별자, 상기 게이트웨이의 인증 방법에 관한 정보, 상기 게이트웨이의 인터넷 프로토콜 주소, 상기 게이트웨이의 서브넷 정보 중 적어도 하나를 포함할 수 있다.In the communication node, the equipment information of the terminal includes at least one of an identifier of the terminal, information on the authentication method of the terminal, an internet protocol address of the terminal, and subnet information of the terminal And the device information of the gateway may include at least one of an identifier of the gateway, information on an authentication method of the gateway, an Internet Protocol address of the gateway, and subnet information of the gateway.
상기 통신 노드에 있어서, 상기 단말 보안 연결 정보는, 보안 연결 식별자, 상기 단말의 인터넷 프로토콜 주소, 상기 단말과 보안 연결 가능한 게이트웨이의 인터넷 프로토콜 주소를 포함하고, 상기 게이트웨이 보안 연결 정보는, 보안 연결 식별자, 상기 게이트웨이의 인터넷 프로토콜 주소, 상기 게이트웨이와 보안 연결 가능한 단말의 인터넷 프로토콜 주소를 포함할 수 있다.Wherein the terminal security association information includes a security association identifier, an internet protocol address of the terminal, and an internet protocol address of a gateway that can securely connect to the terminal, the gateway security association information includes a security association identifier, An internet protocol address of the gateway, and an internet protocol address of a terminal that can securely connect to the gateway.
상기 통신 노드에 있어서, 상기 적어도 하나의 명령은, 상기 단말로부터 상기 게이트웨이에 대한 보안 연결 해제를 요청하는 신호를 수신하고; 기 저장된 상기 단말 보안 연결 정보 및 상기 게이트웨이 보안 연결 목록에 기초하여, 보안 연결 비활성화 요청 신호를 생성하고; 그리고 상기 보안 연결 비활성화 요청 신호를 상기 단말 및 상기 게이트웨이로 송신하도록 더 실행될 수 있다.Wherein the at least one command comprises: receiving a signal from the terminal requesting to release a secure connection to the gateway; Generating a secure connection deactivation request signal based on the pre-stored terminal security connection information and the gateway security connection list; And transmit the secure connection deactivation request signal to the terminal and the gateway.
상기 통신 노드에 있어서, 상기 적어도 하나의 명령은, 상기 단말 보안 연결 정보 및 상기 게이트웨이 보안 연결 정보에 기초하여 상기 단말 및 상기 게이트웨이에 대한 그룹 보안 연결 정보를 생성하도록 더 실행될 수 있다.In the communication node, the at least one command may be further executed to generate group security association information for the terminal and the gateway based on the terminal security association information and the gateway security association information.
상기 통신 노드에 있어서, 상기 적어도 하나의 명령은, 상기 그룹 보안 연결 정보에 기초하여, 상기 그룹 보안 연결 정보에 대응되는 단말 및 게이트웨이로 그룹 보안 연결 활성화 요청 신호를 송신하도록 더 실행될 수 있다.In the communication node, the at least one command may be further executed to transmit a group security connection activation request signal to a terminal and a gateway corresponding to the group security connection information based on the group security connection information.
상기 통신 노드에 있어서, 상기 적어도 하나의 명령은, 상기 그룹 보안 연결 활성화 요청 신호에 따라 그룹 보안 연결된 단말 및 게이트웨이 중 적어도 하나가 연결 해제되는지 여부를 결정하고; 상기 그룹 보안 연결된 단말 및 게이트웨이 중 적어도 하나가 연결 해제될 경우, 상기 그룹 보안 연결된 단말 및 게이트웨이로 그룹 보안 연결 비활성화 요청 신호를 송신하도록 더 실행될 수 있다.Wherein the at least one command determines whether at least one of a group securely connected terminal and a gateway is disconnected according to the group secure connection activation request signal; When at least one of the group securely connected terminal and the gateway is disconnected, the terminal may further be configured to transmit a group security connection deactivation request signal to the group securely connected terminal and the gateway.
상술한 목적을 달성하기 위한 본 발명의 일 실시예는 통신 네트워크에서 단말과 게이트웨이 간의 연결을 관리하는 통신 노드의 동작 방법을 제공한다. 상기 통신 노드의 동작 방법은, 상기 단말로부터 상기 게이트웨이에 대한 보안 연결을 요청하는 신호를 수신하는 단계; 기 저장된 단말 보안 연결 정보 및 게이트웨이 보안 연결 정보에 기초하여 보안 연결을 결정하는 단계; 상기 단말 및 상기 게이트웨이로 보안 연결 활성화 요청 신호를 송신하는 단계;를 포함한다.According to an aspect of the present invention, there is provided an operation method of a communication node managing a connection between a terminal and a gateway in a communication network. The method comprising: receiving a signal from the terminal requesting a secure connection to the gateway; Determining a security association based on stored terminal security association information and gateway security association information; And transmitting a security association activation request signal to the terminal and the gateway.
상기 통신 노드의 동작 방법에 있어서, 상기 단말 보안 연결 정보는, 상기 단말의 장비 정보에 기초하여 생성되고, 상기 게이트웨이 보안 연결 정보는 상기 게이트웨이의 장비 정보에 기초하여 생성될 수 있다.In the operation method of the communication node, the terminal security connection information may be generated based on equipment information of the terminal, and the gateway security connection information may be generated based on equipment information of the gateway.
상기 통신 노드의 동작 방법에 있어서, 상기 단말의 장비 정보는, 상기 단말의 식별자(identifier), 상기 단말의 인증 방법에 관한 정보, 상기 단말의 인터넷 프로토콜 주소, 상기 단말의 서브넷(subnet) 정보 중 적어도 하나를 포함하고, 상기 게이트웨이의 장비 정보는, 상기 게이트웨이의 식별자, 상기 게이트웨이의 인증 방법에 관한 정보, 상기 게이트웨이의 인터넷 프로토콜 주소, 상기 게이트웨이의 서브넷 정보 중 적어도 하나를 포함할 수 있다.Wherein the apparatus information of the terminal includes at least one of an identifier of the terminal, information on the authentication method of the terminal, an Internet Protocol address of the terminal, and subnet information of the terminal And the device information of the gateway may include at least one of an identifier of the gateway, information on an authentication method of the gateway, an internet protocol address of the gateway, and subnet information of the gateway.
상기 통신 노드의 동작 방법에 있어서, 상기 단말 보안 연결 정보는, 보안 연결 식별자, 상기 단말의 인터넷 프로토콜 주소, 상기 단말과 보안 연결 가능한 게이트웨이의 인터넷 프로토콜 주소를 포함하고, 상기 게이트웨이 보안 연결 정보는, 보안 연결 식별자, 상기 게이트웨이의 인터넷 프로토콜 주소, 상기 게이트웨이와 보안 연결 가능한 단말의 인터넷 프로토콜 주소를 포함할 수 있다.Wherein the terminal security association information includes a security association identifier, an Internet Protocol address of the terminal, and an internet protocol address of a gateway that can securely connect to the terminal, A connection identifier, an internet protocol address of the gateway, and an internet protocol address of a terminal that can securely connect to the gateway.
상기 통신 노드의 동작 방법은, 상기 단말로부터 상기 게이트웨이에 대한 보안 연결 해제를 요청하는 신호를 수신하는 단계; 기 저장된 상기 단말 보안 연결 정보 및 상기 게이트웨이 보안 연결 목록에 기초하여, 보안 연결 비활성화 요청 신호를 생성하는 단계; 그리고 상기 보안 연결 비활성화 요청 신호를 상기 단말 및 상기 게이트웨이로 송신하는 단계;를 더 포함할 수 있다.The method comprising: receiving a signal from the terminal requesting to release a secure connection to the gateway; Generating a secure connection deactivation request signal based on the pre-stored terminal security connection information and the gateway security connection list; And transmitting the security association deactivation request signal to the terminal and the gateway.
상기 통신 노드의 동작 방법은, 상기 단말 보안 연결 정보 및 상기 게이트웨이 보안 연결 정보에 기초하여 상기 단말 및 상기 게이트웨이에 대한 그룹 보안 연결 정보를 생성하는 단계;를 더 포함할 수 있다.The method of operating the communication node may further include generating group security connection information for the terminal and the gateway based on the terminal security connection information and the gateway security connection information.
상기 통신 노드의 동작 방법은, 상기 그룹 보안 연결 정보에 기초하여, 상기 그룹 보안 연결 정보에 대응되는 단말 및 게이트웨이로 그룹 보안 연결 활성화 요청 신호를 송신하는 단계;를 더 포함할 수 있다.The method of operating the communication node may further include transmitting a group security connection activation request signal to a terminal and a gateway corresponding to the group security connection information based on the group security connection information.
상기 통신 노드의 동작 방법은, 상기 그룹 보안 연결 활성화 요청 신호에 따라 그룹 보안 연결된 단말 및 게이트웨이 중 적어도 하나가 연결 해제되는지 여부를 결정하는 단계; 그리고 상기 그룹 보안 연결된 단말 및 게이트웨이 중 적어도 하나가 연결 해제될 경우, 상기 그룹 보안 연결된 단말 및 게이트웨이로 그룹 보안 연결 비활성화 요청 신호를 송신하는 단계;를 더 포함할 수 있다.The method comprising: determining whether at least one of a terminal and a gateway connected to the group security connection is disconnected according to the group security connection activation request signal; And transmitting a group security connection deactivation request signal to the group securely connected terminal and the gateway when at least one of the group securely connected terminal and the gateway is disconnected.
상술한 목적을 달성하기 위한 본 발명의 일 실시예는 통신 노드를 제공한다. 상기 통신 노드는, 프로세서(processor); 및 상기 프로세서에 의해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)를 포함하며, 상기 적어도 하나의 명령은, 연결 관리 장치로 게이트웨이에 대한 보안 연결을 요청하는 신호를 송신하고; 상기 연결 관리 장치로부터 상기 통신 노드에 대한 인증이 완료될 경우, 상기 연결 관리 장치로부터 단말 보안 연결 정보를 수신하고; 상기 연결 관리 장치로부터 보안 연결 활성화 요청 신호를 수신하고; 그리고 상기 보안 연결 정보 및 상기 보안 연결 활성화 요청 신호에 기초하여 상기 게이트웨이와의 보안 연결을 활성화하도록 실행된다.In order to accomplish the above object, an embodiment of the present invention provides a communication node. The communication node comprising: a processor; And a memory in which at least one instruction executed by the processor is stored, wherein the at least one instruction is to send a signal to the connection management device requesting a secure connection to the gateway; Receiving terminal security association information from the connection management apparatus when the authentication of the communication node is completed from the connection management apparatus; Receiving a security association activation request signal from the connection management apparatus; And to activate a secure connection with the gateway based on the secure connection information and the secure connection activation request signal.
상기 통신 노드에 있어서, 상기 단말 보안 연결 정보는 상기 단말의 장비 정보에 기초하여 생성되고, 상기 단말의 장비 정보는, 상기 단말의 식별자(identifier), 상기 단말의 인증 방법에 관한 정보, 상기 단말의 인터넷 프로토콜 주소, 상기 단말의 서브넷(subnet) 정보 중 적어도 하나를 포함할 수 있다.In the communication node, the terminal security association information is generated based on equipment information of the terminal, and the equipment information of the terminal includes information on an identifier of the terminal, information on the authentication method of the terminal, An Internet Protocol address, and subnet information of the terminal.
상기 통신 노드에 있어서, 상기 단말 보안 연결 정보는, 보안 연결 식별자, 상기 단말의 인터넷 프로토콜 주소, 상기 단말과 보안 연결 가능한 게이트웨이의 인터넷 프로토콜 주소를 포함할 수 있다.In the communication node, the terminal security association information may include a security association identifier, an internet protocol address of the terminal, and an internet protocol address of a gateway that can securely connect to the terminal.
상기 통신 노드에 있어서, 상기 적어도 하나의 명령은, 상기 연결 관리 장치로 상기 게이트웨이에 대한 보안 연결 해제를 요청하는 신호를 송신하고; 상기 연결 관리 장치로부터 보안 연결 비활성화 요청 신호가 수신될 경우, 상기 단말 보안 연결 정보에 기초하여 상기 보안 연결을 비활성화하도록 더 실행될 수 있다.Wherein the at least one command is to send a signal to the connection management device requesting to release a secure connection to the gateway; When the secure connection deactivation request signal is received from the connection management apparatus, the secure connection deactivation unit may further be configured to deactivate the secure connection based on the terminal security connection information.
본 발명에 의하면, 연결 관리 장치는 통신 네트워크 내의 통신 노드들의 보안 연결 정보를 일괄적으로 관리 및 모니터링함으로써, 보안 연결 관리의 효율성 및 편리성을 증대시키는 효과가 있다.According to the present invention, the connection management apparatus collectively manages and monitors security connection information of communication nodes in a communication network, thereby enhancing the efficiency and convenience of security connection management.
또한, 연결 관리 장치는 단말의 연결 상태에 따라 게이트웨이의 보안 연결을 자동으로 제어함으로써, 게이트웨이에 대한 보안성을 증대시킬 수 있는 효과가 있다.In addition, the connection management apparatus automatically controls the security association of the gateway according to the connection state of the terminal, thereby enhancing the security of the gateway.
또한, 연결 관리 장치는 보안 연결된 복수개의 통신 노드들의 보안 연결 정보를 그룹핑(grouping)하여 관리함으로써, 통신 노드의 교체, 접근권한 변경 및 부하 분산 등의 통신 노드의 상태 변화에 따라 보안 연결을 유연하게 제어할 수 있는 효과가 있다.Also, the connection management apparatus groups and manages the security connection information of a plurality of securely connected communication nodes, thereby flexibly connecting the security connection according to the state change of the communication node, such as replacement of the communication node, change of the access right, There is an effect that can be controlled.
도 1은 제1 실시예에 따른 통신 네트워크를 도시한 개념도이다.
도 2는 제1 실시예에 따른 통신 네트워크에서 통신 노드를 도시한 블록도이다.
도 3은 제2 실시예에 따른 통신 네트워크에서 도시한 개념도이다.
도 4a 내지 도 4d는 제3 실시예에 따른 통신 네트워크에서 단말 및 게이트웨이간의 보안 연결을 제어하기 위한 연결 관리 장치의 동작을 도시하는 개념도이다.
도 5a 및 도 5b는 제3 실시예에 따른 통신 네트워크에서 통신 노드들간의 보안 연결을 위한 신호 흐름을 도시한 순서도이다.
도 6은 제4 실시예에 따른 통신 네트워크를 도시한 개념도이다.
도 7a 및 도 7b는 제4 실시예에 따른 통신 네트워크에서 통신 노드들간의 보안 연결을 위한 신호 흐름을 도시한 순서도이다.
도 8은 제5 실시예에 따른 통신 네트워크를 도시한 개념도이다.
도 9a 및 도 9b는 제5 실시예에 따른 통신 네트워크에서 통신 노드들간의 그룹 보안 연결을 위한 신호 흐름을 도시한 순서도이다.1 is a conceptual diagram showing a communication network according to the first embodiment.
2 is a block diagram illustrating a communication node in a communication network according to the first embodiment.
3 is a conceptual diagram showing a communication network according to the second embodiment.
4A to 4D are conceptual diagrams showing operations of a connection management apparatus for controlling a secure connection between a terminal and a gateway in a communication network according to the third embodiment.
5A and 5B are flowcharts illustrating a signal flow for a secure connection between communication nodes in a communication network according to the third embodiment.
6 is a conceptual diagram showing a communication network according to the fourth embodiment.
7A and 7B are flowcharts illustrating signal flows for secure connection between communication nodes in a communication network according to the fourth embodiment.
8 is a conceptual diagram showing a communication network according to the fifth embodiment.
9A and 9B are flowcharts illustrating signal flow for group security connection between communication nodes in a communication network according to the fifth embodiment.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 구성요소들은 용어들에 의해 한정되어서는 안 된다. 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.The terms first, second, etc. may be used to describe various elements, but the elements should not be limited by terms. Terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the relevant art and are to be interpreted in an ideal or overly formal sense unless explicitly defined in the present application Do not.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In order to facilitate the understanding of the present invention, the same reference numerals are used for the same constituent elements in the drawings and redundant explanations for the same constituent elements are omitted.
명세서 전체에서 망(network)은, 예를 들어, WiFi(wireless fidelity)와 같은 무선인터넷, WiBro(wireless broadband internet) 또는 WiMax(world interoperability for microwave access)와 같은 휴대인터넷, GSM(global system for mobile communication) 또는 CDMA(code division multiple access)와 같은 2G 이동통신망, WCDMA(wideband code division multiple access) 또는 CDMA2000과 같은 3G 이동통신망, HSDPA(high speed downlink packet access) 또는 HSUPA(high speed uplink packet access)와 같은 3.5G 이동통신망, LTE(long term evolution)망 또는 LTE-Advanced망과 같은 4G 이동통신망, 및 5G 이동통신망 등을 포함할 수 있다.Throughout the specification, the network can be, for example, a wireless Internet such as WiFi (wireless fidelity), a wireless broadband internet (WiBro) or a portable internet such as world interoperability for microwave access (WiMax) A 3G mobile communication network such as Wideband Code Division Multiple Access (WCDMA) or CDMA2000, a high speed downlink packet access (HSDPA), or a high speed uplink packet access (HSUPA) A 3.5G mobile communication network, a 4G mobile communication network such as an LTE (Long Term Evolution) network or an LTE-Advanced network, and a 5G mobile communication network.
명세서 전체에서 단말(terminal)은 이동국(mobile station), 이동 단말(mobile terminal), 가입자국(subscriber station), 휴대 가입자국(portable subscriber station), 사용자 장치(user equipment), 접근 단말(access terminal) 등을 지칭할 수도 있고, 단말, 이동국, 이동 단말, 가입자국, 휴대 가입자 국, 사용자 장치, 접근 단말 등의 전부 또는 일부의 기능을 포함할 수도 있다.Throughout the specification, a terminal is referred to as a mobile station, a mobile terminal, a subscriber station, a portable subscriber station, a user equipment, an access terminal, And may include all or some of the functions of a terminal, a mobile station, a mobile terminal, a subscriber station, a mobile subscriber station, a user equipment, an access terminal, and the like.
여기서, 단말로 통신이 가능한 데스크탑 컴퓨터(desktop computer), 랩탑 컴퓨터(laptop computer), 태블릿(tablet) PC, 무선전화기(wireless phone), 모바일폰(mobile phone), 스마트 폰(smart phone), 스마트 워치(smart watch), 스마트 글래스(smart glass), e-book 리더기, PMP(portable multimedia player), 휴대용 게임기, 네비게이션(navigation) 장치, 디지털 카메라(digital camera), DMB (digital multimedia broadcasting) 재생기, 디지털 음성 녹음기(digital audio recorder), 디지털 음성 재생기(digital audio player), 디지털 영상 녹화기(digital picture recorder), 디지털 영상 재생기(digital picture player), 디지털 동영상 녹화기(digital video recorder), 디지털 동영상 재생기(digital video player) 등을 사용할 수 있다.Here, a desktop computer, a laptop computer, a tablet PC, a wireless phone, a mobile phone, a smart phone, a smart watch, smart watch, smart glass, e-book reader, portable multimedia player (PMP), portable game machine, navigation device, digital camera, digital multimedia broadcasting (DMB) A digital audio recorder, a digital audio player, a digital picture recorder, a digital picture player, a digital video recorder, a digital video player ) Can be used.
명세서 전체에서 기지국(base station)은 접근점(access point), 무선 접근국(radio access station), 노드B(node B), 고도화 노드B(evolved nodeB), 송수신 기지국(base transceiver station), MMR(mobile multihop relay)-BS 등을 지칭할 수도 있고, 기지국, 접근점, 무선 접근국, 노드B, eNodeB, 송수신 기지국, MMR-BS 등의 전부 또는 일부의 기능을 포함할 수도 있다.Throughout the specification, a base station is referred to as an access point, a radio access station, a node B, an evolved node B, a base transceiver station, an MMR mobile multihop relay) -BS, and may include all or some of the functions of a base station, an access point, a radio access station, a Node B, an eNodeB, a base transceiver station, and a MMR-BS.
도 1은 제1 실시예에 따른 통신 네트워크를 도시한 개념도이다.1 is a conceptual diagram showing a communication network according to the first embodiment.
도 1을 참조하면, 통신 네트워크(100)는 복수의 통신 노드들(110-1, 110-2, 110-3, 120-1, 120-2, 130-1, 130-2, 130-3, 130-4, 130-5, 130-6)로 구성될 수 있다. 복수의 통신 노드들 각각은 적어도 하나의 통신 프로토콜을 지원할 수 있다. 예를 들어, 복수의 통신 노드들 각각은 CDMA(code division multiple access) 기반의 통신 프로토콜, WCDMA(wideband CDMA) 기반의 통신 프로토콜, TDMA(time division multiple access) 기반의 통신 프로토콜, FDMA(frequency division multiple access) 기반의 통신 프로토콜, OFDM(orthogonal frequency division multiplexing) 기반의 통신 프로토콜, OFDMA(orthogonal frequency division multiple access) 기반의 통신 프로토콜, SC(single carrier)-FDMA 기반의 통신 프로토콜, NOMA(non-orthogonal multiple access) 기반의 통신 프로토콜, SDMA(space division multiple access) 기반의 통신 프로토콜 등을 지원할 수 있다. 복수의 통신 노드들 각각은 다음과 같은 구조를 가질 수 있다.1, a
도 2는 제1 실시예에 따른 통신 네트워크에서 통신 노드를 도시한 블록도이다.2 is a block diagram illustrating a communication node in a communication network according to the first embodiment.
도 2를 참조하면, 통신 노드(200)는 적어도 하나의 프로세서(210), 메모리(220) 및 네트워크와 연결되어 통신을 수행하는 송수신 장치(230)를 포함할 수 있다. 또한, 통신 노드(200)는 입력 인터페이스 장치(240), 출력 인터페이스 장치(250), 저장 장치(260) 등을 더 포함할 수 있다. 통신 노드(200)에 포함된 각각의 구성 요소들은 버스(bus)(270)에 의해 연결되어 서로 통신을 수행할 수 있다.Referring to FIG. 2, the
프로세서(210)는 메모리(220) 및 저장 장치(260) 중에서 적어도 하나에 저장된 프로그램 명령(program command)을 실행할 수 있다. 프로세서(210)는 중앙 처리 장치(central processing unit, CPU), 그래픽 처리 장치(graphics processing unit, GPU), 또는 본 발명의 실시예들에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다. 메모리(220) 및 저장 장치(260) 각각은 휘발성 저장 매체 및 비휘발성 저장 매체 중에서 적어도 하나로 구성될 수 있다. 예를 들어, 메모리(220)는 읽기 전용 메모리(read only memory, ROM) 및 랜덤 액세스 메모리(random access memory, RAM) 중에서 적어도 하나로 구성될 수 있다.The
도 3은 제2 실시예에 따른 통신 네트워크에서 도시한 개념도이다.3 is a conceptual diagram showing a communication network according to the second embodiment.
제2 실시예에 따른 통신 네트워크는 적어도 하나의 연결 관리 장치, 적어도 하나의 단말, 적어도 하나의 게이트웨이 및 적어도 하나의 서버를 포함할 수 있다.The communication network according to the second embodiment may include at least one connection management apparatus, at least one terminal, at least one gateway and at least one server.
도 3을 참고하면, 통신 네트워크는 연결 관리 장치(301), 제1 내지 제3 단말(302 내지 304), 제1 내지 제3 게이트웨이(305 내지 307), 제1 내지 제3 서버(308 내지 310), 클라우딩 네트워크(311)를 포함할 수 있다. 클라우딩 네트워크(311)는 클라우딩 서비스를 제공하는 제1 내지 제3 서버(308 내지 310)를 포함할 수 있다. 클라우딩 네트워크는 제1 내지 제3 게이트웨이(305 내지 307)를 더 포함할 수 있다.3, the communication network includes a
연결 관리 장치(301)는 네트워크 내의 객체들 간의 접근 제어 정책을 관리할 수 있다. 예를 들어, 연결 관리 장치(301)는 복수개의 단말들(302 내지 304), 복수개의 게이트웨이들(305 내지 307) 및 복수개의 서버들(308 내지 310)간의 접근을 제어할 수 있다.The
복수개의 단말들(302 내지 304), 복수개의 게이트웨이들(305 내지 307) 및 복수개의 서버들(308 내지 310)은 보안 연결을 통해 상호 연결될 수 있다. 예를 들어, 보안 연결은 IPSec(Internet Protocol Security) 터널(tunnel)을 이용한 연결일 수 있다.A plurality of
복수개의 단말들(302 내지 304)은 클라우드 시스템에 접근할 수 있다. 예를 들어, 복수개의 단말들(302 내지 304)은 복수개의 게이트웨이들(305 내지 307) 중 적어도 하나의 게이트웨이를 통해, 복수개의 서버들(308 내지 310) 중 적어도 하나의 서비스 제공자에 접근할 수 있다.The plurality of
복수개의 게이트웨이들(305 내지 307)은 복수개의 서버들(308 내지 310)에 대한 접근 제어 기능을 수행할 수 있다. 예를 들어, 복수개의 게이트웨이들(305 내지 307)은 복수개의 서버들(308 내지 310) 중 적어도 하나의 서비스 제공자에 대한 복수개의 단말들(302 내지 304) 중 적어도 하나의 단말의 접근을 제어할 수 있다.The plurality of
복수개의 서버들(308 내지 310)은 각각 적어도 하나의 클라우드 서비스를 제공할 수 있다. 예를 들어, 복수개의 서버들(308 내지 310)은 복수개의 게이트웨이들(305 내지 307) 중 적어도 하나의 게이트웨이를 통해 복수개의 단말들(302 내지 304) 중 적어도 하나의 단말로 적어도 하나의 클라우드 서비스를 제공할 수 있다.The plurality of
도 3은 설명의 편의를 위하여 하나의 연결 관리 장치, 3개의 단말, 2개의 게이트웨이 및 3개의 서버를 도시하고 있다. 그러나, 연결 관리 장치는 복수개일 수 있다. 또한, 단말, 게이트웨이 및 서버 각각은 3개 미만이거나, 4개 이상일 수 있다.3 shows one connection management apparatus, three terminals, two gateways and three servers for convenience of explanation. However, the connection management apparatus may be plural. In addition, each of the terminal, the gateway and the server may be less than three, or four or more.
도 4a 내지 도 4d는 제3 실시예에 따른 통신 네트워크에서 단말 및 게이트웨이간의 보안 연결을 제어하기 위한 연결 관리 장치의 동작을 도시하는 개념도이다.4A to 4D are conceptual diagrams showing operations of a connection management apparatus for controlling a secure connection between a terminal and a gateway in a communication network according to the third embodiment.
제3 실시예에 따른 연결 관리 장치(410)는 접근 단말의 접근권한에 따른 온디맨드 형식의 보안 연결을 제공할 수 있다. 예를 들어, 연결 관리 장치(410)는 통신 네트워크 내의 통신 노드들의 보안 연결 정보를 일괄적으로 관리할 수 있다. 따라서, 연결 관리 장치(410)는 통신 노드들의 접근권한이 변경될 경우, 변경된 접근권한에 따라 통신 노드들의 보안 연결을 제어할 수 있다. 또한, 연결 관리 장치(410)는 통신 노드들의 보안 연결 상태를 일괄적으로 모니터링할 수 있다.The
도 4a를 참고하면, 연결 관리 장치(410)는 적어도 하나의 단말, 적어도 하나의 게이트웨이의 장비 정보를 저장할 수 있다. 이때, 연결 관리 장치(410)는 적어도 하나의 단말, 적어도 하나의 게이트웨이간의 연결이 수행되기 이전에, 적어도 하나의 단말, 적어도 하나의 게이트웨이의 장비 정보를 미리 저장할 수 있다.Referring to FIG. 4A, the
예를 들어, 연결 관리 장치(410)는 제1 단말(420), 제1 단말(420)의 제조사(미도시), 제1 단말(420)로 통신 서비스를 제공하는 통신 서비스 제공사(미도시) 중 적어도 하나로부터 제1 단말(420)의 장비 정보를 수신할 수 있다. 제1 단말(420)의 장비 정보는 제1 단말 정보라 지칭될 수 있다. 제1 단말 정보는, 제1 단말(420)의 식별자(identifier, ID), 제1 단말(420)의 인증 방법에 관한 정보, 제1 단말(420)의 IP 주소, 제1 단말(420)의 서브넷(subnet) 정보 중 적어도 하나를 포함할 수 있다.For example, the
또한, 연결 관리 장치(410)는 제1 게이트웨이(430), 제1 게이트웨이(430)의 제조사(미도시), 제1 게이트웨이(430)에게 통신 서비스를 제공하는 통신 서비스 제공사(미도시) 중 적어도 하나로부터 제1 게이트웨이(430)의 장비 정보를 수신할 수 있다. 제1 게이트웨이(430)의 장비 정보는 제1 게이트웨이 정보라 지칭될 수 있다. 제1 게이트웨이 정보는, 제1 게이트웨이(430)의 식별자(identifier, ID), 제1 게이트웨이(430)의 인증 방법에 관한 정보, 제1 게이트웨이(430)의 IP 주소, 제1 게이트웨이(430)의 서브넷 정보 중 적어도 하나를 포함할 수 있다.The
마찬가지로, 연결 관리 장치(410)는 제2 게이트웨이(440), 제2 게이트웨이(440)의 제조사(미도시), 제2 게이트웨이(440)로 통신 서비스를 제공하는 통신 서비스 제공사(미도시) 중 적어도 하나로부터 제2 게이트웨이(440)의 장비 정보를 수신할 수 있다. 제2 게이트웨이(440)의 장비 정보는 제2 게이트웨이 정보라 지칭될 수 있다. 제2 게이트웨이 정보는, 제2 게이트웨이(440)의 식별자(identifier, ID), 제2 게이트웨이(440)의 인증 방법에 관한 정보, 제2 게이트웨이(440)의 IP 주소, 제2 게이트웨이(440)의 서브넷 정보 중 적어도 하나를 포함할 수 있다.Likewise, the
연결 관리 장치(410)는 기저장된 각 객체들의 장비 정보에 기초하여 적어도 하나의 단말, 적어도 하나의 게이트웨이의 접근을 제어할 수 있다. 예를 들어, 연결 관리 장치(410)는 제1 단말(420)이 연결 관리 장치(410)에 로그인할 경우, 제1 단말(420)의 식별자, 인증 방법에 관한 정보 중 적어도 하나에 기초하여 제1 단말(420)에 대한 인증 절차를 수행할 수 있다.The
또한, 연결 관리 장치(410)는 제1 게이트웨이(430)가 연결 관리 장치(410)에 로그인할 경우, 제1 게이트웨이(430)의 식별자, 인증 방법에 관한 정보 중 적어도 하나에 기초하여 제1 게이트웨이(430)에 대한 인증 절차를 수행할 수 있다.When the
마찬가지로, 연결 관리 장치(410)는 제2 게이트웨이(440)가 연결 관리 장치(410)에 로그인할 경우, 제2 게이트웨이(440)의 식별자, 인증 방법에 관한 정보 중 적어도 하나에 기초하여 제2 게이트웨이(440)에 대한 인증 절차를 수행할 수 있다.Similarly, when the
연결 관리 장치(410)는 각각의 객체별로 보안 연결 정보를 생성할 수 있다. 이때, 연결 관리 장치(410)는 각각의 객체들의 장비 정보에 기초하여 적어도 하나의 보안 연결 정보를 생성할 수 있다.The
예를 들어, 연결 관리 장치(410)는 제1 단말(420)의 IP 주소, 제1 단말(420)의 서브넷 정보, 제1 게이트웨이(430)의 IP 주소, 제1 게이트웨이(430)의 서브넷 정보, 제2 게이트웨이(440)의 IP 주소, 제2 게이트웨이(440)의 서브넷 정보 중 적어도 하나에 기초하여 제1 단말(420)에 대한 보안 연결 정보를 생성할 수 있다. 제1 단말(420)에 대한 보안 연결 정보는 제1 단말 보안 연결 정보(421)라 지칭될 수 있다. 제1 단말 보안 연결 정보(421)는, 제1 보안 연결 정보(422), 제2 보안 연결 정보(432) 중 적어도 하나를 포함할 수 있다. 제1 보안 연결 정보(422)는 제1 단말(420)과 제1 게이트웨이(430)간의 보안 연결 정보를 포함할 수 있다. 제2 보안 연결 정보(432)는 제1 단말(210)과 제2 게이트웨이(320)간의 보안 연결 정보를 포함할 수 있다.For example, the
또한, 연결 관리 장치(410)는 제1 단말(420)의 IP 주소, 제1 단말(420)의 서브넷 정보, 제1 게이트웨이(430)의 IP 주소, 제1 게이트웨이(430)의 서브넷 정보 중 적어도 하나에 기초하여 제1 게이트웨이(430)에 대한 보안 연결 정보를 생성할 수 있다. 제1 게이트웨이(430)에 대한 보안 연결 정보는 제1 게이트웨이 보안 연결 정보(431)라 지칭될 수 있다. 제1 게이트웨이 보안 연결 정보(431)는 제3 보안 연결 정보(431)를 포함할 수 있다. 제3 보안 연결 정보(431)는 제1 게이트웨이(430)와 제1 단말(420)간의 보안 연결 정보를 포함할 수 있다.The
마찬가지로, 연결 관리 장치(410)는 제1 단말(420)의 IP 주소, 제1 단말(420)의 서브넷 정보, 제2 게이트웨이(440)의 IP 주소, 제2 게이트웨이(440)의 서브넷 정보 중 적어도 하나에 기초하여 제2 게이트웨이(440)에 대한 보안 연결 정보를 생성할 수 있다. 제2 게이트웨이(440)에 대한 보안 연결 정보는 제2 게이트웨이 보안 연결 정보(441)라 지칭될 수 있다. 제2 게이트웨이 보안 연결 정보(441)는 제4 보안 연결 정보(442)를 포함할 수 있다. 제4 보안 연결 정보(442)는 제2 게이트웨이(440) 및 제1 단말(420)간의 보안 연결 정보를 포함할 수 있다.Similarly, the
도 4b를 참고하면, 연결 관리 장치(410)는 적어도 하나의 게이트웨이가 연결 관리 장치(410)로 로그인할 경우, 기저장된 보안 연결 정보에 기초하여 적어도 하나의 게이트웨이의 접근을 제어할 수 있다.Referring to FIG. 4B, when at least one gateway logs in to the
예를 들어, 연결 관리 장치(410)는 제1 게이트웨이(430)가 연결 관리 장치(410)에 로그인할 경우, 기저장된 제1 게이트웨이(430)의 장비 정보에 기초하여 제1 게이트웨이(430)에 대한 인증 절차를 수행할 수 있다. 연결 관리 장치(410)는 제1 게이트웨이(430)가 인증될 경우, 기생성된 제1 게이트웨이 보안 연결 정보(431)를 제1 게이트웨이(430)로 송신할 수 있다.For example, when the
마찬가지로, 연결 관리 장치(410)는 제2 게이트웨이(430)가 연결 관리 장치(410)에 로그인할 경우, 기저장된 제2 게이트웨이(440)의 장비 정보에 기초하여 제2 게이트웨이(440)에 대한 인증 절차를 수행할 수 있다. 연결 관리 장치(410)는 제2 게이트웨이(440)가 인증될 경우, 기생성된 제2 게이트웨이 보안 연결 정보(441)를 제2 게이트웨이(440)로 송신할 수 있다.Similarly, when the
도 4c를 참고하면, 연결 관리 장치(410)는 적어도 하나의 단말이 연결 관리 장치(410)로 로그인할 경우, 기저장된 보안 연결 정보에 기초하여 적어도 하나의 단말의 접근을 제어할 수 있다.Referring to FIG. 4C, when at least one terminal logs in to the
예를 들어, 연결 관리 장치(410)는 제1 단말(430)가 연결 관리 장치(410)에 로그인할 경우, 기저장된 제1 단말(420)의 장비 정보에 기초하여 제1 단말(420)에 대한 인증 절차를 수행할 수 있다. 연결 관리 장치(410)는 제1 단말(420)이 인증될 경우, 기생성된 제1 단말 보안 연결 정보(421)를 제1 단말(420)로 송신할 수 있다.For example, when the first terminal 430 logs in to the
도 4d를 참고하면, 적어도 하나의 단말 및 적어도 하나의 게이트웨이는 연결 관리 장치(410)로부터 수신한 보안 연결 정보에 기초하여, 연결 관리 장치(410)의 명령에 따라 상호 연결될 수 있다.Referring to FIG. 4D, at least one terminal and at least one gateway may be interconnected according to a command of the
예를 들어, 제1 단말(420)은 연결 관리 장치(410)로부터 제1 게이트웨이(430)와의 보안 연결을 활성화할 것을 명령하는 메시지를 수신할 경우, 제1 보안 연결 정보(422)에 기초하여 제1 게이트웨이(430)와 보안 연결할 수 있다. 이때, 제1 단말(420)은 제1 IPSec 터널(451)을 통해 제1 게이트웨이(430)와 보안 연결할 수 있다.For example, when the
또한, 제1 단말(420)은 연결 관리 장치(410)로부터 제2 게이트웨이(430)와의 보안 연결을 활성화할 것을 명령하는 메시지를 수신할 경우, 제2 보안 연결 정보(422)에 기초하여 제2 게이트웨이(440)와 보안 연결할 수 있다. 이때, 제1 단말(420)은 제2 IPSec 터널(452)을 통해 제2 게이트웨이(440)와 보안 연결할 수 있다.When the
마찬가지로, 제1 게이트웨이(430)는 연결 관리 장치(410)로부터 제1 단말(420)과의 보안 연결을 활성화할 것을 명령하는 메시지를 수신할 경우, 제3 보안 연결 정보(431)에 기초하여 제1 단말(420)과 보안 연결할 수 있다. 이때, 제1 게이트웨이(430)는 제1 IPSec 터널(451)을 통해 제1 단말(420)과 보안 연결할 수 있다.Similarly, when the
또한, 제2 게이트웨이(440)는 연결 관리 장치(410)로부터 제1 단말(420)과의 보안 연결을 활성화할 것을 명령하는 메시지를 수신할 경우, 제4 보안 연결 정보(442)에 기초하여 제1 단말(420)과 보안 연결할 수 있다. 이때, 제2 게이트웨이(440)는 제2 IPSec 터널(452)을 통해 제1 단말(420)과 보안 연결을 할 수 있다.When the
실시예에 따른 연결 관리 장치(410)는, 기저장된 각 객체들의 장비 정보에 기초하여 각 객체들간의 연결을 일괄적으로 제어함으로써, 각 객체들 간의 연결을 효율적으로 관리할 수 있는 효과가 있다. 또한, 연결 관리 장치(410)는 기저장된 각 객체들의 장비 정보에 기초하여 각 객체들간의 연결을 일괄적으로 제어함으로써, 각 객체들간의 연결을 일괄적으로 모니터링할 수 있는 효과가 있다.The
또한, 연결 관리 장치(410)는 기저장된 각 객체들의 장비 정보에 기초하여 각 객체들간의 연결을 일괄적으로 제어함으로써, 각 객체들의 접근 권한에 관한 정보가 변경될 경우에도 각 객체들간의 연결을 동적으로 제어할 수 있다. 예를 들어, 연결 관리 장치(410)는 각 객체들이 로그인 또는 로그아웃할 경우, 동적으로 각 객체들의 연결을 제어할 수 있다.In addition, the
도 5a 및 도 5b는 제3 실시예에 따른 통신 네트워크에서 통신 노드들간의 보안 연결을 위한 신호 흐름을 도시한 순서도이다.5A and 5B are flowcharts illustrating a signal flow for a secure connection between communication nodes in a communication network according to the third embodiment.
도 5a를 참고하면, 연결 관리 장치(510)는 단말(520), 제1 게이트웨이(530) 및 제2 게이트웨이(540)의 보안 연결을 제어할 수 있다. 여기서, 연결 관리 장치(510), 단말(520), 제1 게이트웨이(530) 및 제2 게이트웨이(540) 각각은, 도 4A 내지 도 4D의 연결 관리 장치(410), 단말(420), 제1 게이트웨이(430) 및 제2 게이트웨이(440)와 동일 또는 유사하게 동작할 수 있다.Referring to FIG. 5A, the
연결 관리 장치(510)는 보안 연결 정보를 생성할 수 있다(S501). 연결 관리 장치(510)는 단말 장비 정보, 제1 게이트웨이 장비 정보, 제2 게이트웨이 장비 정보를 저장할 수 있다. 연결 관리 장치(510)는 단말 장비 정보, 제1 게이트웨이 장비 정보, 제2 게이트웨이 장비 정보에 기초하여 보안 연결 정보를 생성할 수 있다. 예를 들어, 연결 관리 장치(510)는 단말 장비 정보에 기초하여 단말 보안 연결 정보를 생성할 수 있다. 또한, 연결 관리 장치(510)는 제1 게이트웨이 장비 정보에 기초하여 제1 게이트웨이 보안 연결 정보를 생성할 수 있다. 또한, 연결 관리 장치(510)는 제2 게이트웨이 장비 정보에 기초하여 제2 게이트웨이 보안 연결 정보를 생성할 수 있다.The
연결 관리 장치(510)는 제1 게이트웨이(530)로부터 로그인 요청 신호를 수신할 수 있다(S502). 로그인 요청 신호는 제1 게이트웨이(530)의 식별자를 포함할 수 있다. 연결 관리 장치(510)는 제1 게이트웨이(530)의 식별자에 기초하여 제1 게이트웨이(530)를 식별할 수 있다.The
연결 관리 장치(510)는 제1 게이트웨이(530)에 대한 인증 절차를 수행할 수 있다(S503). 연결 관리 장치(510)는 제1 게이트웨이 장비 정보에 기초하여 인증 절차를 수행할 수 있다.The
연결 관리 장치(510)는 제1 게이트웨이 보안 연결 정보를 제1 게이트웨이(530)로 송신할 수 있다(S504). 연결 관리 장치(520)는 제1 게이트웨이 장비 정보에 기초하여 제1 게이트웨이(530)가 인증될 경우, 제1 게이트웨이 보안 연결 정보를 제1 게이트웨이(530)로 송신할 수 있다.The
연결 관리 장치(510)는 제2 게이트웨이(540)로부터 로그인 요청 신호를 수신할 수 있다(S505). 로그인 요청 신호는 제2 게이트웨이(540)의 식별자를 포함할 수 있다. 연결 관리 장치(510)는 제2 게이트웨이(540)의 식별자에 기초하여 제2 게이트웨이(540)를 식별할 수 있다.The
연결 관리 장치(510)는 제2 게이트웨이(540)에 대한 인증 절차를 수행할 수 있다(S506). 연결 관리 장치(510)는 제2 게이트웨이 장비 정보에 기초하여 인증 절차를 수행할 수 있다.The
연결 관리 장치(510)는 제2 게이트웨이 보안 연결 정보를 제2 게이트웨이(540)로 송신할 수 있다(S507). 연결 관리 장치(510)는 제2 게이트웨이 장비 정보에 기초하여 제2 게이트웨이(540)가 인증될 경우, 제2 게이트웨이 보안 연결 정보를 제2 게이트웨이(540)로 송신할 수 있다.The
연결 관리 장치(510)는 단말(520)로부터 로그인 요청 신호를 수신할 수 있다(S508). 로그인 요청 신호는 단말(520)의 식별자를 포함할 수 있다. 연결 관리 장치(510)는 단말(520)의 식별자에 기초하여 단말(520)을 식별할 수 있다. 로그인 요청 신호는 제1 서비스 제공자(미도시) 및 제2 서비스 제공자(미도시)에 대한 접근을 요청하는 신호를 포함할 수 있다. 제1 서비스 제공자는 제1 게이트웨이와 연결될 수 있다. 제2 서비스 제공자는 제2 게이트웨이와 연결될 수 있다.The
연결 관리 장치(510)는 단말(520)에 대한 인증 절차를 수행할 수 있다(S509). 연결 관리 장치(510)는 단말 장비 정보에 기초하여 인증 절차를 수행할 수 있다.The
연결 관리 장치(510)는 단말 보안 연결 정보를 단말(520)로 송신할 수 있다(S510). 연결 관리 장치(510)는 단말 장비 정보에 기초하여 단말(520)이 인증될 경우, 단말 보안 연결 정보를 단말(520)로 송신할 수 있다.The
도 5b를 참고하면, 연결 관리 장치(510)는 보안 연결 활성화 요청 신호를 제1 게이트웨이(530)로 송신할 수 있다(S511). 연결 관리 장치(510)는 보안 연결을 활성화할 것을 요청하는 보안 연결 활성화 요청 신호를 제1 게이트웨이(530)로 송신할 수 있다.Referring to FIG. 5B, the
제1 게이트웨이(530)는 연결 관리 장치(510)로부터 보안 연결 활성화 요청 신호를 수신할 경우, 제1 보안 연결을 활성화할 수 있다. 제1 보안 연결은 제1 단말(510) 및 제1 게이트웨이(530)간에 미리 정의된 제1 IPSec 터널(미도시)을 의미할 수 있다.When the
연결 관리 장치(510)는 보안 연결 활성화 요청 신호를 제2 게이트웨이(540)로 송신할 수 있다(S512). 연결 관리 장치(510)는 보안 연결을 활성화할 것을 요청하는 보안 연결 활성화 요청 신호를 제2 게이트웨이(540)로 송신할 수 있다.The
제2 게이트웨이(514)는 연결 관리 장치(510)로부터 보안 연결 활성화 요청 신호를 수신할 경우, 제2 보안 연결을 활성화할 수 있다. 제2 보안 연결은 제1 단말(510) 및 제2 게이트웨이(540)간에 미리 정의된 제2 IPSec 터널(미도시)을 의미할 수 있다.When the second gateway 514 receives the security association activation request signal from the
연결 관리 장치(510)는 보안 연결 활성화 요청 신호를 단말(520)로 송신할 수 있다(S513). 연결 관리 장치(510)는 보안 연결을 활성화할 것을 요청하는 보안 연결 활성화 요청 신호를 단말(520)로 송신할 수 있다(S513).The
단말(520)은 연결 관리 장치(510)로부터 보안 연결 활성화 요청 신호를 수신할 경우, 상기 보안 연결 활성화 요청 신호에 따라, 제1 보안 연결 및 2 보안 연결을 활성화할 수 있다.When the terminal 520 receives the security association activation request signal from the
연결 관리 장치(510)는 보안 연결 활성화 요청 신호를 제1 단말(520), 제1 게이트웨이(530) 및 제2 게이트웨이(540)로 동시에 송신할 수 있다. 이때, 제1 단말(520), 제1 게이트웨이(530) 및 제2 게이트웨이(540)는 동시에 각각의 보안 연결을 활성화할 수 있다.The
도 6은 제4 실시예에 따른 통신 네트워크를 도시한 개념도이다.6 is a conceptual diagram showing a communication network according to the fourth embodiment.
제4 실시예에 따른 연결 관리 장치(610)는 단말의 연결 상태에 따라 보안 정책을 자동으로 반영할 수 있다. 예를 들어, 연결 관리 장치(610)는 단말이 적어도 하나의 게이트웨이로부터 로그아웃할 경우, 적어도 하나의 게이트웨이의 보안 연결을 일괄적으로 차단할 수 있다. 따라서, 연결 관리 장치(610)는 게이트웨이에 위장 연결된 단말의 연결을 차단할 수 있고, 이에 따라 적어도 하나의 게이트웨이에 대한 보안성을 증대시킬 수 있다.The
도 6을 참고하면, 연결 관리 장치(610)는 적어도 하나의 단말의 접근 또는 접근 해제에 따라 적어도 하나의 단말과 연결되는 적어도 하나의 게이트웨이의 연결을 제어할 수 있다. 예를 들어, 연결 관리 장치(610)는, 적어도 하나의 단말이 접근할 경우, 적어도 하나의 게이트웨이가 적어도 하나의 단말과 보안 연결되도록 적어도 하나의 게이트웨이의 연결을 제어할 수 있다. 예를 들어, 연결 관리 장치(610)는, 적어도 하나의 단말이 로그인할 경우, 적어도 하나의 게이트웨이로 보안 연결을 활성화시킬 것을 명령하는 메시지를 송신할 수 있다.Referring to FIG. 6, the
또한, 연결 관리 장치(610)는, 적어도 하나의 단말이 접근을 해제할 경우, 적어도 하나의 게이트웨이가 적어도 하나의 단말과 보안 연결이 해제되도록 적어도 하나의 게이트웨이의 연결을 제어할 수 있다. 다시 말해, 연결 관리 장치(610)는, 적어도 하나의 단말이 로그아웃할 경우, 적어도 하나의 게이트웨이로 보안 연결을 비활성화시킬 것을 명령하는 메시지를 송신할 수 있다. 즉, 연결 관리 장치(610)는, 적어도 하나의 단말의 연결 상황에 따라, 적어도 하나의 단말과 연결된 적어도 하나의 게이트웨이의 연결을 활성화 또는 비활성화하기 위한 제어를 수행할 수 있다.In addition, the
통신 네트워크 내의 객체들은 복수개의 보안 연결 정보를 저장할 수 있다. 예를 들어, 각각의 보안 연결 정보는 Connection Name<Alias>, Left ID, Left, Left subnet, Left protocol port, Right ID, Right, Right subnet, Right protocol port 등의 값을 포함할 수 있다. 이때, Left 값은 Left 값을 저장하고 있는 객체의 IP 주소일 수 있다. 또한, Right 값은 Right 값을 저장하고 있는 객체가 연결할 수 있는 다른 객체의 IP 주소일 수 있다. 따라서, 연결 관리 장치(610)는 Left, Right 값에 기초하여 객체들의 연결을 제어할 수 있다.Objects in the communication network may store a plurality of security connection information. For example, each security connection information may include values such as Connection Name <Alias>, Left ID, Left, Left subnet, Left protocol port, Right ID, Right, Right subnet, and Right protocol port. At this time, the Left value may be the IP address of the object storing the Left value. Also, the Right value may be the IP address of another object to which the object storing the Right value can connect. Accordingly, the
예를 들어, 도 6을 참고하면, 연결 관리 장치(610)는 제1 단말 보안 연결 정보(621), 제2 단말 보안 연결 정보(631), 제1 게이트웨이 보안 연결 정보(641), 제2 게이트웨이 보안 연결 정보(651)를 생성할 수 있다.6, the
제1 단말 보안 연결 정보(621)는 제1 연결 정보(622), 제2 연결 정보(623)를 포함할 수 있다. 제1 보안 연결 정보(622)는 제1 Left 값 및 제1 Right 값을 포함할 수 있다. 제1 Left 값은 제1 단말(620)의 IP 주소를 포함할 수 있다. 제1 Right 값은 제1 게이트웨이(640)의 IP 주소를 포함할 수 있다. 또한, 제2 보안 연결 정보(631)는 제2 Left 값 및 제2 Right 값을 포함할 수 있다. 제2 Left 값은 제1 단말(620)의 IP 주소를 포함할 수 있다. 제2 Right 값은 제2 게이트웨이(650)의 IP 주소를 포함할 수 있다.The first terminal
제2 단말 보안 연결 정보(631)는 제3 보안 연결 정보(632) 및 제4 보안 연결 정보(633)를 포함할 수 있다. 제3 보안 연결 정보(632)는 제3 Left 값 및 제3 Right 값을 포함할 수 있다. 제3 Left 값은 제2 단말(630)의 IP 주소를 포함할 수 있다. 제3 Right 값은 제1 게이트웨이(640)의 IP 주소를 포함할 수 있다. 또한, 제4 보안 연결 정보(633)는 제4 Left 값 및 제4 Right 값을 포함할 수 있다. 제4 Left 값은 제2 단말(630)의 IP 주소를 포함할 수 있다. 제4 Right 값은 제2 게이트웨이(650)의 IP 주소를 포함할 수 있다.The second terminal
제1 게이트웨이 보안 연결 정보(641)는 제5 보안 연결 정보(642) 및 제6 보안 연결 정보(643)를 포함할 수 있다. 제5 보안 연결 정보(642)는 제5 Left 값 및 제5 Right 값을 포함할 수 있다. 제5 Left 값은 제1 게이트웨이(640)의 IP 주소를 포함할 수 있다. 제5 Right 값은 제1 단말(620)의 IP 주소를 포함할 수 있다. 또한, 제6 보안 연결 정보(643)는 제6 Left 값 및 제6 Right 값을 포함할 수 있다. 제6 Left 값은 제1 게이트웨이(640)의 IP 주소를 포함할 수 있다. 제6 Right 값은 제2 단말(630)의 IP 주소를 포함할 수 있다.The first gateway
제2 게이트웨이 보안 연결 정보(651)는 제7 보안 연결 정보(652) 및 제8 보안 연결 정보(652)를 포함할 수 있다. 제7 보안 연결 정보(652)는 제7 Left 값 및 제7 Right 값을 포함할 수 있다. 제7 Left 값은 제2 게이트웨이(650)의 IP 주소를 포함할 수 있다. 제7 Right 값은 제1 단말(620)의 IP 주소를 포함할 수 있다. 또한, 제8 보안 연결 정보(652)는 제8 Left 값 및 제8 Right 값을 포함할 수 있다. 제8 Left 값은 제2 게이트웨이(650)의 IP 주소를 포함할 수 있다. 제8 Right 값은 제2 단말(630)의 IP 주소를 포함할 수 있다.The second gateway
연결 관리 장치(610)는 제1 단말 보안 연결 정보(621), 제2 단말 보안 연결 정보(631), 제1 게이트웨이 보안 연결 정보(641), 제2 게이트웨이 보안 연결 정보(651)에 기초하여, 제1 단말(620), 제2 단말(630), 제1 게이트웨이(640), 및 제2 게이트웨이(650)의 보안 연결을 제어할 수 있다.Based on the first terminal
도 6은 설명의 편의를 위하여 2개의 단말 보안 연결 정보, 2개의 게이트웨이 보안 연결 정보, 8개의 보안 연결 정보를 도시하고 있다. 그러나, 단말 보안 연결 정보 및 게이트웨이 연결 정보는 각각의 개수는 2개 미만이거나 3개 이상일 수 있다. 또한, 보안 연결 정보의 개수는 8개 미만이거나 9개 이상일 수 있다.FIG. 6 shows two terminal security connection information, two gateway security connection information, and eight security connection information for convenience of explanation. However, the number of the terminal security connection information and the gateway connection information may be less than two or three or more. Also, the number of secure connection information may be less than eight or more than nine.
도 7a 및 도 7b는 제4 실시예에 따른 통신 네트워크에서 통신 노드들간의 보안 연결을 위한 신호 흐름을 도시한 순서도이다.7A and 7B are flowcharts illustrating signal flows for secure connection between communication nodes in a communication network according to the fourth embodiment.
도 7a를 참고하면, 연결 관리 장치(710)는 제1 단말(720), 제2 단말(730), 제1 게이트웨이(740) 및 제2 게이트웨이(750)의 보안 연결을 제어할 수 있다. 여기서, 연결 관리 장치(710), 제1 단말(720), 제2 단말(730), 제1 게이트웨이(740) 및 제2 게이트웨이(750) 각각은, 도 6의 연결 관리 장치(610), 제1 단말(620), 제2 단말(630), 제1 게이트웨이(640) 및 제2 게이트웨이(650)와 동일 또는 유사하게 동작할 수 있다.7A, the
연결 관리 장치(710)는 제1 단말(730)로부터 보안 연결 요청 신호를 수신할 수 있다(S701). 보안 연결 요청 신호는 제1 서버(미도시) 및 제2 서버(미도시)로 로그인을 요청하는 신호를 포함할 수 있다. 즉, 제1 단말(730)은 제1 서버 및 제2 서버에 접근을 요청하는 신호를 포함하는 로그인 요청 신호를 연결 관리 장치(710)로 송신할 수 있다. 제1 서버는 제1 게이트웨이(740)를 통해 연결될 수 있다. 제2 서버는 제2 게이트웨이(750)를 통해 연결될 수 있다. 로그인 요청 신호는 제1 단말(730)의 식별자를 포함할 수 있다. 연결 관리 장치(710)는 제1 단말(730)의 식별자에 기초하여 제1 단말(730)을 식별할 수 있다.The
연결 관리 장치(710)는 보안 연결을 결정할 수 있다(S702). 예를 들어, 연결 관리 장치(710)는 제1 단말(720)로부터 수신한 보안 연결 요청 신호에 기초하여 제1 단말(720)과 보안 연결될 통신 노드를 결정할 수 있다. 예를 들어, 연결 관리 장치(710)는 보안 연결 요청 신호가 제1 게이트웨이(740)에 보안 연결을 요청하는 신호를 포함할 경우, 제1 게이트웨이 보안 연결 정보에 기초하여, 제1 단말(720) 및 제1 게이트웨이(740)간의 보안 연결을 결정할 수 있다.The
연결 관리 장치(710)는 제1 게이트웨이(740)로 보안 연결 활성화 요청 신호를 송신할 수 있다(S703). 연결 관리 장치(710)는 제1 게이트웨이(740)로 제1 보안 연결을 활성화할 것을 요청하는 제1 보안 연결 활성화 요청 신호를 송신할 수 있다. 여기서, 제1 보안 연결은 제1 단말(720) 및 제1 게이트웨이(740)간의 미리 정의된 제1 IPSec 터널(미도시)을 의미할 수 있다.The
제1 게이트웨이(740)는 제1 보안 연결을 활성화할 수 있다(S704). 제1 게이트웨이(740)는 연결 관리 장치(710)로부터 수신한 제1 보안 연결 활성화 요청 신호에 따라, 제1 보안 연결을 활성화할 수 있다.The
연결 관리 장치(710)는 제1 단말(720)로 제1 보안 연결을 활성화할 것을 요청하는 신호를 송신할 수 있다(S705). 연결 관리 장치(710)는 제1 단말(720)로 보안 연결 활성화 요청 신호를 송신할 수 있다. 연결 관리 장치(710)는 제1 단말(720)로 제1 보안 연결을 활성화할 것을 요청하는 제1 보안 연결 활성화 요청 신호를 송신할 수 있다.The
제1 단말(720)은 제1 보안 연결을 활성화할 수 있다(S706). 제1 단말(720)은 연결 관리 장치(710)로부터 수신한 제1 보안 연결 활성화 요청 신호에 따라, 제1 보안 연결을 활성화할 수 있다.The
제1 단말(720) 및 제1 게이트웨이(740)는 제1 보안 연결을 통해 데이터를 송수신할 수 있다(S707). 제1 단말(720)은 제1 보안 연결을 통해 제1 게이트웨이(740)와 연결된 제1 서버(미도시)에 접근할 수 있다. 예를 들어, 즉, 제1 단말(720)은 제1 보안 연결을 통해 제1 서버와 클라우드 서비스 데이터를 송수신할 수 있다.The
연결 관리 장치(710)는 제2 게이트웨이(750)로 보안 연결 활성화 요청 신호를 송신할 수 있다(S708). 연결 관리 장치(710)는 제2 게이트웨이(750)로 제2 보안 연결을 활성화할 것을 요청하는 제2 보안 연결 활성화 요청 신호를 송신할 수 있다. 여기서, 제2 보안 연결은 제1 단말(720) 및 제2 게이트웨이(750)간의 미리 정의된 제2 IPSec 터널(미도시)을 의미할 수 있다.The
제2 게이트웨이(750)는 제2 보안 연결을 활성화할 수 있다(S709). 제2 게이트웨이(750)는 제2 보안 연결 활성화 요청 신호에 따라, 제2 보안 연결을 활성화할 수 있다.The
연결 관리 장치(710)는 제1 단말(720)로 보안 연결 활성화 요청 신호를 송신할 수 있다(S710). 연결 관리 장치(710)는 제1 단말(720)로 제2 보안 연결을 활성화할 것을 요청하는 제2 보안 연결 활성화 요청 신호를 송신할 수 있다(S710).The
제1 단말(720)은 제2 보안 연결을 활성화할 수 있다(S711). 제1 단말(720)은 제2 보안 연결 활성화 요청 신호에 따라, 제2 보안 연결을 활성화할 수 있다.The
제1 단말(720) 및 제2 게이트웨이(750)는 제2 보안 연결을 통해 데이터를 송수신할 수 있다(S712). 제1 단말(720)은 제2 보안 연결을 통해 제2 게이트웨이(750)와 연결된 제2 서버(미도시)에 접근할 수 있다. 예를 들어, 즉, 제1 단말(720)은 제2 보안 연결을 통해 제2 서버와 클라우드 서비스 데이터를 송수신할 수 있다.The
도 7b를 참고하면, 연결 관리 장치(710)는 제1 단말(720)로부터 보안 연결 해제 요청 신호를 수신할 수 있다(S713). 보안 연결 해제 요청 신호는 제1 서버 및 제2 서버로부터 로그아웃을 요청하는 신호를 포함할 수 있다. 즉, 제1 단말(720)은 제1 서버 및 제2 서버로부터의 접근 해제를 요청하는 신호를 연결 관리 장치(710)로 송신할 수 있다.Referring to FIG. 7B, the
연결 관리 장치(710)는 보안 연결 해제를 결정할 수 있다(S714). 예를 들어, 연결 관리 장치(710)는 제1 단말(720)로부터 수신한 보안 연결 해제 요청 신호에 기초하여 제1 단말(720)과 보안 연결 해제될 통신 노드를 결정할 수 있다. 예를 들어, 연결 관리 장치(710)는 보안 연결 해제 요청 신호가 제1, 2 게이트웨이(740, 750)와 보안 연결 해제를 요청하는 신호를 포함할 경우, 제1 단말 보안 연결 정보, 제1 게이트웨이 보안 연결 정보 및 제2 게이트웨이 보안 연결 정보 중 적어도 하나에 기초하여, 제1 단말(720) 및 제1, 2 게이트웨이(740, 750)간의 보안 연결 해제를 결정할 수 있다.The
연결 관리 장치(710)는 제1 게이트웨이(740)로 보안 연결 비활성화 요청 신호를 송신할 수 있다(S715). 예를 들어, 연결 관리 장치(710)는 제1 게이트웨이(740)로 제1 보안 연결을 비활성화할 것을 요청하는 제1 보안 연결 비활성화 요청 신호를 송신할 수 있다.The
제1 게이트웨이(740)는 제1 보안 연결을 비활성할 수 있다(S716). 제1 게이트웨이(740)는 연결 관리 장치(710)로부터 제1 보안 연결 비활성화 요청 신호를 수신할 경우, 제1 보안 연결을 해제할 수 있다. 이때, 제1 게이트웨이(740)는 제1 게이트웨이 보안 연결 정보에 기초하여 제1 보안 연결을 해제할 수 있다.The
연결 관리 장치(710)는 제2 게이트웨이(750)로 보안 연결 비활성화 요청 신호를 송신할 수 있다(S717). 예를 들어, 연결 관리 장치(710)는 제2 게이트웨이(750)로 제2 보안 연결을 해제할 것을 요청하는 제2 보안 연결 비활성화 요청 신호를 송신할 수 있다.The
제2 게이트웨이(750)는 제2 보안 연결을 비활성화할 수 있다(S718). 제2 게이트웨이(750)는 연결 관리 장치(710)로부터 제2 보안 연결 비활성화 요청 신호를 수신할 경우, 제2 보안 연결을 해제할 수 있다. 제2 게이트웨이(750)는 제2 게이트웨이 보안 연결 정보에 기초하여 제2 보안 연결을 해제할 수 있다.The
연결 관리 장치(710)는 제1 단말(720)로 보안 연결 비활성화 요청 신호를 송신할 수 있다(S719). 예를 들어, 연결 관리 장치(710)는 제1 단말(720)로 제1 보안 연결 및 제2 보안 연결을 해제할 것을 요청하는 제2 보안 연결 비활성화 요청 신호를 송신할 수 있다.The
제1 단말(720)은 제1, 2 보안 연결을 비활성화할 수 있다(S720). 제1 단말(720)은 연결 관리 장치(710)로부터 보안 연결 비활성화 요청 신호를 수신할 경우, 제1 보안 연결 및 제2 보안 연결을 해제할 수 있다. 이때, 제1 단말(720)은 제1 단말 보안 연결 정보에 기초하여 제1 보안 연결 및 제2 보안 연결을 해제할 수 있다.The
연결 관리 장치(710)는 보안 연결 비활성화 요청 신호를 제1 단말(720), 제1 게이트웨이(730) 및 제2 게이트웨이(740)로 동시에 송신할 수 있다. 이때, 제1 단말(720), 제1 게이트웨이(730) 및 제2 게이트웨이(740)는 동시에 각각의 보안 연결을 비활성화할 수 있다.The
도 8은 제5 실시예에 따른 통신 네트워크를 도시한 개념도이다.8 is a conceptual diagram showing a communication network according to the fifth embodiment.
제5 실시예에 따른 연결 관리 장치(810)는 보안 연결된 복수개의 통신 노드들의 보안 연결 정보를 그룹핑(grouping)하여 관리할 수 있다. 예를 들어, 연결 관리 장치(810)는 통신 노드가 조직 변경에 따라 접근 권한이 변경될 경우, 통신 노드에 대한 접근 제어를 유연하게 적용할 수 있다. 또한, 연결 관리 장치(810)는 각각의 보안 연결 정보를 그룹핑하여 관리함으로써, 통신 노드의 교체 또는 통신 노드의 부하 분산에 따른 유연한 제어가 가능하다.The
도 8을 참고하면, 통신 네트워크는 연결 관리 장치(810), 제1 단말(820), 제2 단말(830), 제1 게이트웨이(840), 제2 게이트웨이(850), 제1 서버(860) 및 제2 서버(870), 클라우드 네트워크(880)를 포함할 수 있다. 여기서, 연결 관리 장치(810), 제1 단말(820), 제2 단말(830), 제1 게이트웨이(840), 제2 게이트웨이(850) 각각은, 도 6의 연결 관리 장치(610), 제1 단말(620), 제2 단말(630), 제1 게이트웨이(640), 제2 게이트웨이(650)와 동일 또는 유사하게 동작할 수 있다.8, the communication network includes a
제1 서버(860)는 제1 클라우드 서비스를 제공하는 서비스 제공자가 운용하는 서버일 수 있다. 제2 서버(870)는 제2 클라우드 서비스를 제공하는 서비스 제공자가 운용하는 서버일 수 있다. 클라우드 네트워크(880)는 제1 서버(860) 및 제2 서버(870)를 포함할 수 있다.The
연결 관리 장치(810)는 적어도 하나의 단말의 보안 연결 정보 및 적어도 하나의 게이트웨이의 보안 연결 정보를 그룹핑(grouping)하여 관리할 수 있다. 예를 들어, 연결 관리 장치(810)는 제1 보안 연결 정보(822), 제3 보안 연결 정보(832), 제5 보안 연결 정보(842), 제6 보안 연결 정보(843)를 포함하는 제1 그룹 보안 연결 정보(811)를 생성할 수 있다.The
연결 관리 장치(810)는 제1 그룹 보안 연결 정보(811)에 기초하여 제1 그룹 보안 연결 정보에 대응되는 제1 단말(820), 제2 단말(830) 및 제1 게이트웨이(840)의 보안 연결을 그룹핑하여 관리할 수 있다. 예를 들어, 제1 게이트웨이(840), 제1 단말(820) 및 제2 단말(830)는 제1 그룹으로 지칭될 수 있다. 연결 관리 장치(810)는 제1 그룹의 접근 제어(813)를 일괄적으로 수행할 수 있다.The
도 9a 및 도 9b는 제5 실시예에 따른 통신 네트워크에서 통신 노드들간의 그룹 보안 연결을 위한 신호 흐름을 도시한 순서도이다.9A and 9B are flowcharts illustrating signal flow for group security connection between communication nodes in a communication network according to the fifth embodiment.
도 9a를 참고하면, 통신 네트워크는 연결 관리 장치(910), 제1 단말(920), 제2 단말(930), 제1 게이트웨이(940) 및 제2 게이트웨이(950)를 포함할 수 있다. 여기서, 연결 관리 장치(910), 제1 단말(920), 제2 단말(930), 제1 게이트웨이(940) 및 제2 게이트웨이(950) 각각은, 도 8의 연결 관리 장치(810), 제1 단말(820), 제2 단말(830), 제1 게이트웨이(840) 및 제2 게이트웨이(950)와 동일 또는 유사하게 동작할 수 있다.9A, the communication network may include a
연결 관리 장치(910)는 보안 연결 정보를 그룹핑할 수 있다(S901). 연결 관리 장치(910)는 적어도 하나의 단말의 보안 연결 정보 및 적어도 하나의 게이트웨이의 보안 연결 정보를 그룹핑하여 관리할 수 있다. 예를 들어, 연결 관리 장치(910)는 제1 단말(920)에 대한 제1 보안 연결 정보, 제2 단말(930)에 대한 제3 보안 연결 정보 및 제1 게이트웨이(940)에 대한 제5, 제6 보안 연결 정보를 포함하는 제1 그룹 보안 연결 정보를 생성할 수 있다.The
연결 관리 장치(910)는 그룹 보안 연결을 결정할 수 있다(S902). 예를 들어, 연결 관리 장치(910)는 제1 그룹 보안 연결 정보에 기초하여, 제1 단말(920), 제2 단말(930) 및 제1 게이트웨이(940)를 포함하는 제1 그룹에 대한 보안 연결을 활성화할 것을 결정할 수 있다.The
연결 관리 장치(910)는 제1 그룹에 포함되는 제1 게이트웨이(940)로 보안 연결 활성화 요청 신호를 송신할 수 있다(S903). 연결 관리 장치(910)는 제1 게이트웨이(940)로 보안 연결 활성화 요청 신호와 제1 그룹 보안 연결 정보를 동시에 송신할 수 있다.The
제1 게이트웨이(940)는 제1 보안 연결 및 제2 보안 연결을 활성화할 수 있다(S904). 제1 게이트웨이(940)는 연결 관리 장치(910)로부터 보안 연결 활성화 요청 신호를 수신할 경우, 기저장된 제1 게이트웨이 보안 연결 정보 또는 연결 관리 장치(910)로부터 수신한 제1 그룹 보안 연결 정보에 기초하여 제1 보안 연결 및 제2 보안 연결을 활성화할 수 있다.The
연결 관리 장치(910)는 제1 그룹에 포함되는 제1 단말(920)로 보안 연결 활성화 요청 신호를 송신할 수 있다(S905). 연결 관리 장치(910)는 제1 단말(920)로 보안 연결 활성화 요청 신호와 제1 그룹 보안 연결 정보를 동시에 송신할 수 있다.The
제1 단말(920)은 제1 보안 연결을 활성화할 수 있다(S906). 제1 게이트웨이(940)는 연결 관리 장치(910)로부터 보안 연결 활성화 요청 신호를 수신할 경우, 기저장된 제1 단말 보안 연결 정보 또는 연결 관리 장치(910)로부터 수신한 제1 그룹 보안 연결 정보에 기초하여 제1 보안 연결을 활성화할 수 있다.The
제1 단말(920) 및 제1 게이트웨이(940)는 제1 보안 연결을 통해 데이터를 송수신할 수 있다(S907). 제1 단말(920)은 제1 보안 연결을 통해 제1 게이트웨이(940)와 연결된 제1 서버(미도시)에 접근할 수 있다. 제1 단말(920)은 제1 보안 터널을 통해 제1 서버와 클라우드 서비스 데이터를 송수신할 수 있다.The
연결 관리 장치(910)는 제1 그룹에 포함되는 제2 단말(930)로 보안 연결 활성화 요청 신호를 송신할 수 있다(S908). 연결 관리 장치(910)는 제2 단말(930)로 보안 연결 활성화 요청 신호와 제1 그룹 보안 연결 정보를 동시에 송신할 수 있다.The
제2 단말(930)은 제2 보안 연결을 활성화할 수 있다(S909). 제2 단말(930)은 연결 관리 장치(910)로부터 보안 연결 활성화 요청 신호를 수신할 경우, 기저장된 제2 단말 보안 연결 정보 또는 연결 관리 장치(910)로부터 수신한 제1 그룹 보안 연결 정보에 기초하여 제2 보안 연결을 활성화할 수 있다.The
제2 단말(930) 및 제1 게이트웨이(940)는 제2 보안 연결을 통해 데이터를 송수신할 수 있다(S910). 제2 단말(930)은 제2 보안 연결을 통해 제1 게이트웨이(940)와 연결된 제2 서버(미도시)에 접근할 수 있다. 제2 단말(930)은 제2 보안 연결을 통해 제2 서버와 클라우드 서비스 데이터를 송수신할 수 있다.The
도 9b를 참고하면, 연결 관리 장치(910)는 그룹 보안 연결의 비활성화를 결정할 수 있다(S911). 예를 들어, 연결 관리 장치(910)는 제1 그룹에 대한 보안 연결을 비활성화할 것을 결정할 수 있다. 예를 들어, 연결 관리 장치(910)는 제1 그룹에 포함된 제1 단말(920), 제2 단말(930), 제1 게이트웨이(940) 중 적어도 하나의 연결 상태를 감시할 수 있다. 연결 관리 장치(910)는 제1 단말(920), 제2 단말(930), 제1 게이트웨이(940) 중 적어도 하나의 연결이 해제될 경우, 제1 그룹에 포함된 모든 통신 노드에 대한 보안 연결을 비활성화할 것을 결정할 수 있다.Referring to FIG. 9B, the
연결 관리 장치(910)는 제1 게이트웨이(940)로 보안 연결 비활성화 요청 신호를 송신할 수 있다(S912). 제1 게이트웨이(940)는 연결 관리 장치(910)로부터 수신된 보안 연결 비활성화 요청 신호에 따라 제1 보안 연결 및 제2 보안 연결을 비활성화할 수 있다(S913).The
연결 관리 장치(910)는 제1 단말(920)로 보안 연결 비활성화 요청 신호를 송신할 수 있다(S914). 제1 단말(920)은 연결 관리 장치(910)로부터 수신된 보안 연결 비활성화 요청 신호에 따라 제1 보안 연결을 비활성화할 수 있다(S915).The
연결 관리 장치(910)는 제2 단말(930)로 보안 연결 비활성화 요청 신호를 송신할 수 있다(S916). 제2 단말(930)은 연결 관리 장치(910)로부터 수신된 보안 연결 비활성화 요청 신호에 따라 제2 보안 연결을 비활성화할 수 있다(S917).The
본 발명에 따른 방법들은 다양한 컴퓨터 수단을 통해 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 본 발명을 위해 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.The methods according to the present invention can be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the computer readable medium may be those specially designed and constructed for the present invention or may be available to those skilled in the computer software.
컴퓨터 판독 가능 매체의 예에는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 적어도 하나의 소프트웨어 모듈로 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of computer readable media include hardware devices that are specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate with at least one software module to perform the operations of the present invention, and vice versa.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined in the appended claims. It will be possible.
Claims (1)
프로세서(processor); 및
상기 프로세서에 의해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)를 포함하며,
상기 적어도 하나의 명령은,
상기 단말로부터 상기 게이트웨이에 대한 보안 연결을 요청하는 신호를 수신하고;
기 저장된 단말 보안 연결 정보 및 게이트웨이 보안 연결 정보에 기초하여 보안 연결을 결정하고; 그리고
상기 단말 및 상기 게이트웨이로 보안 연결 활성화 요청 신호를 송신하도록 실행되는, 통신 노드.1. A communication node for managing connection between a terminal and a gateway in a communication network,
A processor; And
Wherein at least one instruction executed by the processor comprises a stored memory,
Wherein the at least one instruction comprises:
Receiving a signal from the terminal requesting a secure connection to the gateway;
Determining a security association based on the stored terminal security association information and the gateway security association information; And
And to send a secure connection activation request signal to the terminal and the gateway.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170144732A KR102144884B1 (en) | 2017-11-01 | 2017-11-01 | Apparatus and method for managing security connection in communication network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170144732A KR102144884B1 (en) | 2017-11-01 | 2017-11-01 | Apparatus and method for managing security connection in communication network |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190049170A true KR20190049170A (en) | 2019-05-09 |
KR102144884B1 KR102144884B1 (en) | 2020-08-14 |
Family
ID=66546796
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170144732A KR102144884B1 (en) | 2017-11-01 | 2017-11-01 | Apparatus and method for managing security connection in communication network |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102144884B1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20160091625A (en) * | 2015-01-26 | 2016-08-03 | 한국전자통신연구원 | System and method for controlling for hierarchical network |
KR20170076861A (en) * | 2015-12-24 | 2017-07-05 | (주)소만사 | Control method of access to cloud service for business |
-
2017
- 2017-11-01 KR KR1020170144732A patent/KR102144884B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20160091625A (en) * | 2015-01-26 | 2016-08-03 | 한국전자통신연구원 | System and method for controlling for hierarchical network |
KR20170076861A (en) * | 2015-12-24 | 2017-07-05 | (주)소만사 | Control method of access to cloud service for business |
Also Published As
Publication number | Publication date |
---|---|
KR102144884B1 (en) | 2020-08-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8885649B2 (en) | Method, apparatus, and system for implementing private network traversal | |
CN109672708B (en) | Communication method, device and system | |
JP7296993B2 (en) | Communication method and communication device | |
WO2018050007A1 (en) | Method and apparatus for accessing local network by user terminal and computer storage medium | |
EP3404878A1 (en) | Virtual network apparatus, and related method | |
CN106572517A (en) | Network slice processing method, access network selecting method and apparatus | |
EP3611962A1 (en) | Quality of service control method, device, and system | |
JP6468618B2 (en) | Method, apparatus, and system for enhancing parallel processing capability of a wireless local area network | |
CN114205926B (en) | Control device and storage medium | |
CN105591971A (en) | QoS implementation method and device | |
CN106464596A (en) | Openflow communication method, system, controller, and service gateway | |
CN109450905A (en) | Transmit the method and apparatus and system of data | |
CN113839995A (en) | Cross-domain resource management system, method, device and storage medium | |
US10581738B2 (en) | Efficient inter-VLAN routing in openflow networks | |
CN114500176B (en) | Multi-flow load balancing method, device and system for VPN and storage medium | |
US20150047009A1 (en) | Access control method, access control system and access control device | |
JP2021010100A (en) | Method, system, and program for relay | |
US9860171B2 (en) | Large scale message routing in a distributed network | |
US20170053136A1 (en) | Policy-based trusted peer-to-peer connections | |
CN111245637B (en) | Generating application-based proxy autoconfiguration | |
KR102144884B1 (en) | Apparatus and method for managing security connection in communication network | |
KR102474855B1 (en) | Method, system and non-transitory computer-readable recording medium for providing messenger service | |
CN109661796B (en) | Network intercommunication method, network element and system | |
KR20230017311A (en) | Method, apparatus and system for determining user plane security enforcement information | |
US11032389B1 (en) | Applying application-based policy rules using a programmable application cache |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
AMND | Amendment | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
X091 | Application refused [patent] | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant |