KR20200004193A - 종단 간 통신의 정책을 설정하는 장치 및 방법 - Google Patents

종단 간 통신의 정책을 설정하는 장치 및 방법 Download PDF

Info

Publication number
KR20200004193A
KR20200004193A KR1020180077308A KR20180077308A KR20200004193A KR 20200004193 A KR20200004193 A KR 20200004193A KR 1020180077308 A KR1020180077308 A KR 1020180077308A KR 20180077308 A KR20180077308 A KR 20180077308A KR 20200004193 A KR20200004193 A KR 20200004193A
Authority
KR
South Korea
Prior art keywords
identifier
communication device
end communication
security module
information
Prior art date
Application number
KR1020180077308A
Other languages
English (en)
Other versions
KR102548430B1 (ko
Inventor
박경원
김경남
김형주
강혜진
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020180077308A priority Critical patent/KR102548430B1/ko
Publication of KR20200004193A publication Critical patent/KR20200004193A/ko
Application granted granted Critical
Publication of KR102548430B1 publication Critical patent/KR102548430B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

IoT 단말과 IoT 서비스 서버 등과 같은 종단 통신 장치 간의 연결시 사용할 식별자(ID : Identifier) 기반의 정책을 자동으로 설정하는 장치 및 방법이 개시된다. 일 측면에 따른 정책 관리 장치에서 제 1 종단 통신 장치와 제 2 종단 통신 장치 간의 연결 정책을 설정하는 방법은, 상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보를 저장하는 단계; 상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를 저장하는 단계; 서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 단계; 및 상기 제 1, 2 연결 관계 정보를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함한다.

Description

종단 간 통신의 정책을 설정하는 장치 및 방법{APPARATUS AND METHOD ESTABLISHING A POLICY OF END-TO-END COMMUNICATION}
본 발명은 IoT(Internet of Things) 기술에 관한 것으로서, 보다 구체적으로 IoT 단말과 IoT 서비스 서버 등과 같은 종단 통신 장치 간의 연결시 사용할 정책을 설정하는 장치 및 방법에 관한 것이다.
인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 네트워크에서, 사물 등 분산된 구성 요소들 간에 정보를 주고받아 처리하는 IoT(Internet of Things, 사물인터넷) 네트워크로 진화하고 있다. IoT(Internet of Things)란, 통신 가능한 모든 사물들을 네트워크에 연결하여 상호 통신 수행이 가능한 개념을 의미한다. 시스템적으로 인지할 수 있는 모든 객체인 Things는 근거리 및 원거리 통신 기능을 탑재하고, 센서 등을 통해 데이터를 생산할 수 있다. IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술 및 보안 기술과 같은 기술 요소들이 요구된다. 최근에는 사물 간의 연결을 위한 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 연구되고 있다. 이러한 IoT 서비스는 퍼블릭 네트워크(Public Network) 환경에서 제공된다. 즉 누구나 언제든지 IoT 네트워크에 접속할 수 있다. 이와 같이 IoT 서비스는 퍼블릭 네트워크 환경에서 제공되기 때문에 IoT 디바이스(IoT 단말이나 IoT 서비스 서버)는 퍼블릭 네트워크에 노출되어 보안이 취약할 수 있다.
본 발명은 상술한 문제점을 해결하기 위해 제안된 것으로, IoT 단말과 IoT 서비스 서버 등과 같은 종단 통신 장치 간의 연결시 사용할 식별자(ID : Identifier) 기반의 정책을 자동으로 설정하는 장치 및 방법을 제공하는 데 목적이 있다.
일 측면에 따른 정책 관리 장치에서 제 1 종단 통신 장치와 제 2 종단 통신 장치 간의 연결 정책을 설정하는 방법은, 상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보를 저장하는 단계; 상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를 저장하는 단계; 서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 단계; 및 상기 제 1, 2 연결 관계 정보를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함한다.
상기 제 1 연결 관계 정보를 저장하는 단계는, 제 1 보안 모듈로부터, 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 단계; 상기 제 1 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 1 보안 모듈의 제 1 식별자와 매칭하는 단계를 포함할 수 있다.
상기 고유 정보를 수신하는 단계는, 상기 제 1 종단 통신 장치에 상기 제 1 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 수행될 수 있다.
상기 제 2 연결 관계 정보를 저장하는 단계는, 제 2 보안 모듈로부터, 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 단계; 및 상기 제 2 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 2 보안 모듈의 식별자와 매칭하는 단계를 포함할 수 있다.
상기 고유 정보를 수신하는 단계는, 상기 제 2 종단 통신 장치에 상기 제 2 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 수행될 수 있다.
상기 대응 관계를 확인하는 단계는, 상기 제 1 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보와 상기 제 2 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보의 일치를 확인하는 단계; 및 상기 제 1 종단 통신 장치의 식별자와 상기 제 2 종단 통신 장치의 식별자를 매칭한, 제 3 연결 관계 정보를 획득하는 단계;를 포함할 수 있다.
상기 서비스 그룹 정보의 일치를 확인하는 단계는, 상기 제 1 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 상기 제 1 종단 통신 장치의 식별자를 매칭하여 저장하는 단계; 및 상기 2 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 매칭된 상기 제 1 종단 통신 장치의 식별자를 확인하는 단계;를 포함할 수 있다.
상기 정책 저장수단에 저장하는 단계는, 상기 제 3 연결 관계 정보를 이용하여 상기 제 1, 2 연결 관계 정보를 조회하는 단계; 조회된 상기 제 1, 2 연결 관계 정보를 이용하여 식별자들 기반의 상기 제 1, 2 종단 통신 장치 간의 전체 경로를 조합하는 단계; 및 상기 전체 경로에서 상기 제 1 보안 모듈을 기준으로 한 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함할 수 있다.
상기 정책 저장수단은, 블록체인일 수 있다.
상기 고유 정보들은, IP 주소 또는 MAC 주소일 수 있다.
상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는, 상기 제 1 종단 통신 장치의 식별자, 상기 제 1 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것일 수 있다.
상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는, 상기 제 2 종단 통신 장치의 식별자, 상기 제 2 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것일 수 있다.
다른 측면에 따른 제 1 종단 통신 장치와 제 2 종단 통신 장치 간의 연결 정책을 설정하는 정책 관리 장치는, 상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보와, 상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를, 연결 관계 정보 저장부에 저장하는 식별자 관리부; 서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 종단 장치 관리부; 및 상기 제 1, 2 연결 관계 정보를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장부에 저장하는 정책 관리부;를 포함한다.
상기 정책 관리 장치는, 제 1 보안 모듈로부터, 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 수신부;를 더 포함하고, 상기 식별자 관리부는, 상기 제 1 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 1 보안 모듈의 제 1 식별자와 매칭할 수 있다.
상기 수신부는, 상기 제 1 종단 통신 장치에 상기 제 1 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 상기 제 1 보안 모듈로부터 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신할 수 있다.
상기 정책 관리 장치는, 제 2 보안 모듈로부터, 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 수신부;를 더 포함하고, 상기 식별자 관리부는, 상기 제 2 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 2 보안 모듈의 식별자와 매칭할 수 있다.
상기 수신부는, 상기 제 2 종단 통신 장치에 상기 제 2 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 제 2 보안 모듈로부터 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신할 수 있다.
상기 종단 장치 관리부는, 상기 제 1 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보와 상기 제 2 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보의 일치를 확인하고, 상기 제 1 종단 통신 장치의 식별자와 상기 제 2 종단 통신 장치의 식별자를 매칭한, 제 3 연결 관계 정보를 획득할 수 있다.
상기 종단 장치 관리부는, 상기 제 1 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 상기 제 1 종단 통신 장치의 식별자를 매칭하여 저장하고, 상기 2 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 매칭된 상기 제 1 종단 통신 장치의 식별자를 확인함으로써, 제 1, 2 종단 통신 장치의 서비스 그룹 정보의 일치를 확인할 수 있다.
상기 정책 관리부는, 상기 제 3 연결 관계 정보를 이용하여 상기 제 1, 2 연결 관계 정보를 조회하고, 조회된 상기 제 1, 2 연결 관계 정보를 이용하여 식별자들 기반의 상기 제 1, 2 종단 통신 장치 간의 전체 경로를 조합하며, 상기 전체 경로에서 상기 제 1 보안 모듈을 기준으로 한 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 양방향 연결 정보를 각각 정책 저장부에 저장할 수 있다.
상기 정책 저장부는, 블록체인일 수 있고, 상기 고유 정보들은, IP 주소 또는 MAC 주소일 수 있다.
상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는, 상기 제 1 종단 통신 장치의 식별자, 상기 제 1 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것일 수 있다.
상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는, 상기 제 2 종단 통신 장치의 식별자, 상기 제 2 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것일 수 있다.
일 실시예에서, 네트워크 구조에 따라 변동성이 높은 IP 주소 기반의 정책을 탈피하여 식별자(ID : Identifier) 기반 정책을 이용함으로써 퍼블릭 네트워크를 통한 IoT 서비스의 보안을 높인다.
일 실시예에서, 종단 통신 장치에 보안 모듈을 통신 가능하게 연결하면 종단 통신 장치에 식별자(ID : Identifier)를 할당하고 식별자 기반 정책을 자동으로 설정함으로써 레거시 시스템의 변화 없이 모든 IoT 서비스에 보안을 제공할 수 있다.
일 실시예에서, 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 정책으로서 기록함으로써 퍼블릭 네트워크를 통한 종단 간(End-To-End) 통신에서 각 종단의 보안 모듈은 그 하위의 종단 통신 장치와 상대방 종단의 보안 모듈만 식별하면 된다. 따라서 종단 통신 장치의 퍼블릭 네트워크를 통한 노출을 최소화함으로써 보안을 강화한다.
도 1은 본 발명의 일 실시예에 따른 종단(End-to-End) 간 통신 시스템을 나타낸 도면이다.
도 2는 도 1의 정책 관리 장치의 블럭도이다.
도 3은 도 1의 종단(End-to-End) 간 통신 시스템에서 정책 관리 장치(150)의 동작을 설명하는 흐름도이다.
도 4는 도 1의 종단 간 통신 시스템의 실시예로서 IoT 단말과 IoT 서비스 서버 간 통신을 나타낸 도면이다.
도 5는 도 4의 시스템에서 IoT 서비스 서버와 제 2 보안 모듈 간의 ID 연결 관계 정보를 생성하는 방법을 설명하는 흐름도이다.
도 6은 도 4의 시스템에서 IoT 단말과 IoT 서비스 서버 간의 연결 정책을 설정하는 방법을 설명하는 흐름도이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 종단(End-to-End) 간 통신 시스템을 나타낸 도면이다. 도 1을 참조하면, 본 실시예에 따른 종단 간 통신 시스템은, 종단 통신 장치들(110, 130), 보안 모듈들(120, 140), 정책 관리 장치(150) 및 정책 저장 장치(160)를 포함하고 이들은 통신망(170)으로 연결된다.
종단 통신 장치들(110, 130)은 통신 경로 상의 끝에 존재하는 통신 장치로서, 예를 들어, 가스 센서, 화재 감지 센서, 카메라, 인공지능 스피커 등의 IoT 단말이나, 이러한 IoT 단말과 통신하여 IoT 서비스를 제공하는 IoT 서비스 서버를 포함한다. IoT 단말은 메모리와 프로세서 및 통신 회로 등을 포함하여 IoT 서비스 서버와 통신할 수 있고 또는 다른 IoT 단말과 P2P 통신을 할 수 있다. IoT 서비스 서버는 IoT 단말과 연결되어 IoT 단말로부터 주기적으로 상태 정보를 수신하고 또한 IoT 단말의 펌웨어를 업데이트하며 IoT 단말로 콘텐츠 스트리밍 등의 서비스를 제공할 수 있다.
보안 모듈들(120, 140)은 종단 통신 장치들(110, 130)에 통신 가능하게 연결되어 종단 통신 장치(110, 130)를 통신망(170)을 통한 외부 공격으로부터 보호한다. 보안 모듈들(120, 140)은 통신 계층상 종단 통신 장치들(110, 130)의 상위 계층에 위치한다. 보안 모듈들(120, 140)은 물리적인 어댑터 형태로 제작되어 종단 통신 장치(110, 130)에 물리적으로 연결될 수 있다. 이 경우, 보안 모듈들(120, 140)은 메모리 및 프로세서 그리고 통신 회로를 포함할 수 있다. 또는 보안 모듈들(120, 140)은 소프트웨어로 제작되어 종단 통신 장치들(110, 130)의 메모리에 저장되어 실행될 수 있다. 보안 모듈들(120, 140)은 자체 저장소에 다른 보안 모듈과 구별될 수 있는 임의의 식별자(ID : Identifier, 이하에서 ID라 함)가 부여되어 저장된다.
보안 모듈들(120, 140)은, 종단 통신 장치들(110, 130)로부터 수신된 패킷을 외부로 전송할 때, 정책 저장 장치(160)로 정책을 질의하고, 정책 조회 결과에 따라 패킷의 외부로의 전송 여부를 결정한다. 이때 정책은 식별자(ID) 기반의 정책으로서, 보안 모듈(120, 140)을 기준으로 한 양방향 연결 정보이다. 또한, 보안 모듈들(120, 140)은, 외부로부터 종단 통신 장치들(110, 130)로 향하는 패킷이 수신될 때, 정책 저장 장치(160)로 정책을 질의하고, 정책 조회 결과에 따라 패킷의 내부로의 전송 여부를 결정한다. 이를 위해 보안 모듈들(120, 140)은, 종단 통신 장치들(110, 130)에 최초로 통신 가능하게 연결될 때, 자신의 ID와 종단 통신 장치들(110, 130)의 고유 정보, 예를 들어 IP 주소 또는 MAC 주소를 정책 관리 장치(150)로 전송하여 종단 통신 장치들(110, 130) 간의 연결 정책이 설정되도록 한다.
보안 모듈(120, 140)은, 종단 통신 장치(110, 130)로부터 수신된 패킷을 외부로 전송할 때, 정책 저장 장치(160)로 토큰 시드를 요청하고 정책 저장 장치(160)로부터 수신된 토큰 시드를 이용하여 생성한 토큰을 패킷에 삽입하여 전송한다. 또한, 보안 모듈들(120, 140)은, 외부로부터 종단 통신 장치들(110, 130)로 향하는 패킷이 수신될 때, 정책 저장 장치(160)로 패킷을 전송한 측에서 사용한 토큰 시드를 요청하고, 정책 저장 장치(160)로부터 수신된 토큰 시드를 이용하여 패킷에 포함된 토큰을 검증한다. 보안 모듈들(120, 140)은, 토큰 검증에 성공시에 외부로부터 수신된 패킷에서 토큰을 제거하여 내부의 종단 통신 장치(110, 130)로 전달한다.
정책 관리 장치(150)는, ID 기반의 종단 통신 연결 정책을 설정하여 정책 저장 장치(160)에 저장한다. 여기서 ID 기반의 종단 통신 연결 정책은 보안 모듈(120, 140)을 기준으로 한 ID 기반의 양방향 연결 정보를 포함한다. 예를 들어, 상기 제 1 보안 모듈(120)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 1 종단 통신 장치(110)의 ID, 제 1 보안 모듈(120)의 ID 그리고 제 2 보안 모듈(140)의 ID로 이루어진 연결 정보이다. 그리고 제 2 보안 모듈(140)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 2 종단 통신 장치(130)의 ID, 제 2 보안 모듈(140)의 ID, 제 1 보안 모듈(120)의 ID로 이루어진 연결 정보이다.
정책 관리 장치(150)는, 종단 통신 장치(110, 130)에 보안 모듈(120, 140)이 통신 가능하게 연결되어 동작할 때, 보안 모듈(120, 140)로부터 자신의 ID와 보안 모듈(120, 140)에 연결된 종단 통신 장치(110, 130)의 고유 정보, 예를 들어, IP 주소나 MAC 주소를 수신한다. 정책 관리 장치(150)는, ID가 없는 종단 통신 장치(110, 130)에 ID를 부여한 후 종단 통신 장치(110, 130)와 보안 모듈(120, 140) 간의 ID 연결 관계 정보를 생성한다. 정책 관리 장치(150)는, 서로 동일한 서비스 그룹에 속하는 종단 통신 장치들(110, 130)을 확인하고, 이들의 보안 모듈(120, 140)들과의 ID 연결 관계 정보를 조합하여 종단 통신 장치들(110, 130) 간의 ID 기반의 전체 경로를 조합한다. 그리고 정책 관리 장치(150)는 전체 경로에서 보안 모듈(120, 140)을 기준으로 한 양방향 연결 정보를 생성하여 정책 저장 장치(160)에 저장한다.
정책 저장 장치(160)는 정책 관리 장치(150)에서 생성된 ID 기반의 종단 통신 연결 정책을 수신하여 저장한다. ID 기반의 종단 통신 연결 정책은 보안 모듈(120, 140)을 기준으로 한 ID 기반의 양방향 연결 정보를 포함한다. 정책 저장 장치(160)는 블록체인 네트워크를 구성하는 노드들을 포함한다. 블록체인 네트워크를 구성하는 노드들은 주기적으로 블록을 생성하여 트랜잭션을 기록하여 저장하는데, 본 발명의 실시예에서 트랜잭션은 상기 ID 기반의 종단 통신 연결 정책을 포함한다. 블록체인 네트워크를 구성하는 노드들에서 생성되는 블록들은 체인처럼 연결된 상태로 만들어지며, 각 노드들은 동일한 블록을 공유하고 있어, 블록에 저장된 트랜잭션을 위조하려면 노드들의 상당수를 해킹해야만 한다. 또한 블록에 트랜잭션이 일정 이상 기록되면 노드들은 서로 간의 합의 과정을 거쳐 트랜잭션들이 서로 동일하게 축적되도록 한다.
도 2는 도 1의 정책 관리 장치의 블럭도이다. 정책 관리 장치(150)는 메모리, 메모리 제어기, 하나 이상의 프로세서(CPU), 주변 인터페이스, 입출력(I/O) 서브시스템, 디스플레이 장치, 입력 장치 및 통신 회로를 포함할 수 있다. 이러한 구성요소는 하나 이상의 통신 버스 또는 신호선을 통하여 통신한다. 이러한 여러 구성요소는 하나 이상의 신호 처리 및/또는 애플리케이션 전용 집적 회로(application specific integrated circuit)를 포함하여, 하드웨어, 소프트웨어 또는 하드웨어와 소프트웨어 둘의 조합으로 구현될 수 있다.
메모리는 고속 랜덤 액세스 메모리를 포함할 수 있고, 또한 하나 이상의 자기 디스크 저장 장치, 플래시 메모리 장치와 같은 불휘발성 메모리, 또는 다른 불휘발성 반도체 메모리 장치를 포함할 수 있다. 일부 실시예에서, 메모리는 하나 이상의 프로세서로부터 멀리 떨어져 위치하는 저장 장치, 예를 들어 RF 회로와, 인터넷, 인트라넷, LAN(Local Area Network), WLAN(Wide LAN), SAN(Storage Area Network) 등, 또는 이들의 적절한 조합과 같은 통신 네트워크(도시하지 않음)를 통하여 액세스되는 네트워크 부착형(attached) 저장 장치를 더 포함할 수 있다. 프로세서 및 주변 인터페이스와 같은 장치의 다른 구성요소에 의한 메모리로의 액세스는 메모리 제어기에 의하여 제어될 수 있다.
주변 인터페이스는 장치의 입출력 주변 장치를 프로세서 및 메모리와 연결한다. 하나 이상의 프로세서는 다양한 소프트웨어 프로그램 및/또는 메모리에 저장되어 있는 명령어 세트를 실행하여 시스템을 위한 여러 기능을 수행하고 데이터를 처리한다. 일부 실시예에서, 주변 인터페이스, 프로세서 및 메모리 제어기는 칩과 같은 단일 칩 상에서 구현될 수 있다. 일부 다른 실시예에서, 이들은 별개의 칩으로 구현될 수 있다.
I/O 서브시스템은 디스플레이 장치, 입력 장치와 같은 장치의 입출력 주변장치와 주변 인터페이스 사이에 인터페이스를 제공한다. 디스플레이 장치는 LCD(liquid crystal display) 기술 또는 LPD(light emitting polymer display) 기술을 사용할 수 있고, 이러한 디스플레이 장치는 용량형, 저항형, 적외선형 등의 터치 디스플레이일 수 있다.
프로세서는 시스템에 연관된 동작을 수행하고 명령어들을 수행하도록 구성된 프로세서로서, 예를 들어, 메모리로부터 검색된 명령어들을 이용하여, 시스템의 컴포넌트 간의 입력 및 출력 데이터의 수신과 조작을 제어할 수 있다. 일부 실시예에서, 소프트웨어 구성요소는 운영 체제, 그래픽 모듈(명령어 세트), 본 발명을 위한 동작을 수행하기 위한 프로그램이 탑재(설치)될 수 있다. 운영 체제는, 예를 들어, 다윈(Darwin), RTXC, LINUX, UNIX, OSX, WINDOWS 또는 VxWorks, 안드로이드, iOS 등과 같은 내장 운영체제일 수 있고, 일반적인 시스템 태스크(task)(예를 들어, 메모리 관리, 저장 장치 제어, 전력 관리 등)를 제어 및 관리하는 다양한 소프트웨어 구성요소 및/또는 장치를 포함하고, 다양한 하드웨어와 소프트웨어 구성요소 사이의 통신을 촉진시킨다.
통신 회로는 이더넷 통신 회로 및 RF 회로를 포함할 수 있다. 이더넷 통신 회로는 유선 통신을 수행하고, RF 회로는 전자파를 송수신한다. RF 회로는 전기 신호를 전자파로 또는 그 반대로 변환하며 이 전자파를 통하여 통신 네트워크, 다른 이동형 게이트웨이 및 통신 장치와 통신한다. RF 회로는 예를 들어 안테나 시스템, RF 트랜시버, 하나 이상의 증폭기, 튜너, 하나 이상의 오실레이터, 디지털 신호 처리기, CODEC 칩셋, 메모리 등을 포함하지만 이에 한정되지 않는 이러한 기능을 수행하기 위한 주지의 회로를 포함할 수 있다. RF 회로는 셀룰러 전화 네트워크, 무선 LAN 및/또는 MAN(metropolitan area network)와 같은 무선 네트워크, 그리고 근거리 무선 통신에 의하여 다른 장치와 통신할 수 있다.
도 2에 도시된 바와 같이, 수신부(210), 식별자 관리부(220), 연결 관계 정보 DB(230), 서비스 그룹 식별부(240), 서비스 그룹 정보 DB(250), 종단 장치 관리부(260), 정책 관리부(270)를 포함한다. 수신부(210), 식별자 관리부(220), 서비스 그룹 식별부(240), 종단 장치 관리부(260) 및 정책 관리부(270)는 프로그램으로 구현되어 메모리에 저장된 후 프로세서에 의해 실행될 수 있고, 또는 하드웨어와 소프트웨어의 조합으로 구현될 수도 있다.
수신부(210)는, 종단 통신 장치(110, 130)에 보안 모듈(120, 140)이 통신 가능하게 연결되어 동작할 때, 보안 모듈(120, 140)로부터 자신의 ID와 보안 모듈(120, 140)에 연결된 종단 통신 장치(110, 130)의 고유 정보, 예를 들어, IP 주소나 MAC 주소를 수신한다. 예를 들어, 제 1 보안 모듈(120)로부터 그의 ID와 제 1 종단 통신 장치(110)의 MAC 주소를 수신한다. 제 2 보안 모듈(140)로부터는 그의 ID와 제 2 종단 통신 장치(130)의 IP 주소를 수신한다.
식별자 관리부(220)는, ID가 없는 종단 통신 장치(110, 130)에 ID를 부여한 후 종단 통신 장치(110, 130)와 보안 모듈(120, 140) 간의 ID 연결 관계 정보를 생성하여 연결 관계 정보 DB(230)에 저장한다. 예를 들어, 상기 수신부(210)에 제 1 보안 모듈(120)로부터 그의 ID와 제 1 종단 통신 장치(110)의 MAC 주소가 수신되었을 때, 식별자 관리부(220)는, 제 1 종단 통신 장치(110)에 임시적인 ID를 부여하고, 제 1 보안 모듈(120)의 ID와 제 1 종단 통신 장치(110)의 ID를 매칭한, 연결 관계 정보를 연결 관계 정보 DB(230)에 저장한다. 또한, 상기 수신부(210)에 제 2 보안 모듈(140)로부터 그의 ID와 제 2 종단 통신 장치(130)의 IP 주소가 수신되었을 때, 식별자 관리부(220)는, 제 2 종단 통신 장치(130)에 임시적인 ID를 부여하고, 제 2 보안 모듈(140)의 ID와 제 2 종단 통신 장치(130)의 ID를 매칭한, 연결 관계 정보를 연결 관계 정보 DB(230)에 저장한다.
서비스 그룹 식별부(240)는, 서비스 그룹 정보 DB(250)에 저장된 정보를 참조하여 보안 모듈들(120, 140)에 연결된 종단 통신 장치들(110, 130)의 서비스 그룹을 확인한다. 서비스 그룹 식별부(240)는, 수신부(210)로부터 종단 통신 장치(110, 130)의 고유 정보, 예를 들어, IP 주소나 MAC 주소를 수신하고, 그 수신된 고유 정보를 이용하여 서비스 그룹 정보 DB(250)에서 해당하는 서비스 그룹 정보를 확인한다. 서비스 그룹 정보 DB(250)에는 서비스 그룹별로 해당 서비스 그룹명, 해당 서비스 그룹에 속하는 종단 통신 장치들(110, 130)의 MAC 주소 또는 IP 주소의 목록이 저장된다. 예를 들어, 삼성전자에서 IoT 서비스를 제공한다면, IoT 서비스를 제공하는 플랫폼 서버의 IP 주소와 그 IoT 서비스를 제공하는 삼성전자에서 제조하여 판매하는 IoT 단말들의 MAC 주소가 서비스 그룹 정보 DB(250)에 저장된다.
종단 장치 관리부(260)는, 상기 서비스 그룹 식별부(240)에서 확인한 종단 통신 장치들(110, 130)의 서비스 그룹 정보를 이용하여 종단 통신 장치들(110, 130)의 대응 관계를 확인한다. 종단 장치 관리부(260)는, 대응 관계가 확인된 종단 통신 장치들(110, 130)의 ID들을 식별자 관리부(220)로부터 수신하고 그 수신된 ID들을 매칭한 연결 관계 정보를 생성한다. 종단 장치 관리부(260)는 그 생성한 종단 통신 장치들(110, 130)의 ID 연결 관계 정보를 연결 관계 정보 DB(230)에 저장할 수 있다.
실시예에 따라, 종단 장치 관리부(260)는, 종단 통신 장치(110, 130) 중 어느 한 종단 통신 장치(예, 110)의 서비스 그룹 정보가 서비스 그룹 식별부(240)로부터 수신되면, 식별자 관리부(220)로부터 수신된 해당 종단 통신 장치(110)의 ID를 서비스 그룹 정보 DB(250)의 해당 서비스 그룹에 매칭하여 저장한다. 그리고 종단 장치 관리부(260)는, 다른 종단 통신 장치(130)의 서비스 그룹 정보가 서비스 그룹 식별부(240)로부터 수신되면, 그 수신된 서비스 그룹 정보를 이용하여 서비스 그룹 정보 DB(250)에 종단 통신 장치(110)의 ID를 질의하여 수신한 후, 수신된 종단 통신 장치(110)의 ID와 식별자 관리부(220)로부터 수신되는 종단 통신 장치(130)의 ID와 매칭하여 종단 통신 장치(110, 130) 간의 ID 연결 관계 정보를 획득할 수 있다.
정책 관리부(270)는, 연결 관계 정보 DB(230)에 저장된 종단 통신 장치들(110, 130)과 보안 모듈들(120, 140) 간의 ID 연결 관계 정보와, 상기 종단 장치 관리부(260)에서 확인된 종단 통신 장치들(110, 130)의 대응 관계, 구체적으로는 종단 통신 장치들(110, 130) 간의 ID 연결 관계 정보를 이용하여, 보안 모듈(120, 140)을 기준으로 한 ID 기반의 양방향 연결 정보를 생성하고 이를 정책 저장 장치(160)로 전송하여 저장한다. 구체적으로, 정책 관리부(270)는, 종단 통신 장치들(110, 130) 간의 ID 연결 관계 정보를 이용하여, 연결 관계 정보 DB(230)에서 종단 통신 장치들(110, 130)과 보안 모듈들(120, 140) 간의 ID 연결 관계 정보를 조회하고, 조회된 종단 통신 장치들(110, 130)과 보안 모듈들(120, 140) 간의 ID 연결 관계 정보를 이용하여 ID 기반의 종단 통신 장치(110, 130) 간의 전체 경로를 조합한다. 그리고 정책 관리부(270)는 상기 전체 경로에서 예를 들어, 제 1 보안 모듈(120)을 기준으로 한 양방향 연결 정보와 제 2 보안 모듈(140)을 기준으로 한 양방향 연결 정보를 각각 정책 저장 장치(160)에 전송하여 저장한다. 예를 들어, 상기 제 1 보안 모듈(120)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 1 종단 통신 장치(110)의 ID, 제 1 보안 모듈(120)의 ID 그리고 제 2 보안 모듈(140)의 ID로 이루어진 연결 정보이다. 그리고 제 2 보안 모듈(140)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 2 종단 통신 장치(130)의 ID, 제 2 보안 모듈(140)의 ID, 제 1 보안 모듈(120)의 ID로 이루어진 연결 정보이다.
도 3은 도 1의 종단(End-to-End) 간 통신 시스템에서 정책 관리 장치(150)의 동작을 설명하는 흐름도이다.
단계 301에서, 정책 관리 장치(150)는, 제 1 종단 통신 장치(110)의 ID와 제 1 보안 모듈(120)의 ID를 매칭한 연결 관계 정보를 생성한다. 정책 관리 장치(150)는, 제 1 보안 모듈(120)로부터 그의 ID와 제 1 종단 통신 장치(110)의 IP 주소 또는 MAC 주소가 수신되었을 때, 제 1 종단 통신 장치(110)에 임시적인 ID를 부여하고, 제 1 보안 모듈(120)의 ID와 제 1 종단 통신 장치(110)의 ID를 매칭한, 연결 관계 정보를 연결 관계 정보 DB(230)에 저장한다.
단계 302에서, 정책 관리 장치(150)는, 제 2 종단 통신 장치(130)의 ID와 제 2 보안 모듈(140)의 ID를 매칭한 연결 관계 정보를 생성한다. 정책 관리 장치(150)는, 제 2 보안 모듈(140)로부터 그의 ID와 제 2 종단 통신 장치(130)의 IP 주소 또는 MAC 주소가 수신되었을 때, 제 2 종단 통신 장치(130)에 임시적인 ID를 부여하고, 제 2 보안 모듈(140)의 ID와 제 2 종단 통신 장치(130)의 ID를 매칭한, 연결 관계 정보를 연결 관계 정보 DB(230)에 저장한다.
단계 S303에서, 정책 관리 장치(150)는, 제 1, 2 종단 통신 장치들(110, 130)을 포함하는 종단 통신 장치들의 서비스 그룹 정보와 제 1, 2 종단 통신 장치들(110, 130)의 고유 정보, 예를 들어 IP 주소 또는 MAC 주소에 기초하여 제 1 종단 통신 장치(110)와 상기 제 2 종단 통신 장치(130)의 대응 관계를 확인한다. 정책 관리 장치(150)는, 보안 모듈들(120, 140)로부터 수신된 종단 통신 장치(110, 130)의 고유 정보, 예를 들어, IP 주소나 MAC 주소를 이용하여 서비스 그룹 정보 DB(250)에서 해당하는 서비스 그룹 정보를 확인하여 동일한지 확인한다. 정책 관리 장치(150)는, 대응 관계가 확인된 종단 통신 장치들(110, 130) 간의 ID 연결 관계 정보를 생성한다. 실시예에 따라, 정책 관리 장치(150)는, 제 1 종단 통신 장치(110)의 IP 주소나 MAC 주소를 이용하여 서비스 그룹 정보를 확인한 후 그 서비스 그룹 정보에 제 1 종단 통신 장치(110)의 ID를 매칭하여 저장한다. 그리고 정책 관리 장치(150)는 제 2 종단 통신 장치(130)의 IP 주소나 MAC 주소를 이용하여 서비스 그룹 정보에 매칭된 제 1 종단 통신 장치(110)의 ID를 조회한 후, 종단 통신 장치들(110, 130) 간의 ID 연결 관계 정보를 생성한다.
단계 S304에서, 정책 관리 장치(150)는, 단계 S301 및 단계 S302에서 저장한 종단 통신 장치들(110, 130)과 보안 모듈(120, 140) 간의 ID 연결 관계 정보와, 단계 S303에서 확인된 종단 통신 장치들(110, 130) 간의 대응 관계를 이용하여, 각 보안 모듈(120, 140)을 기준으로 한 ID 기반의 양방향 연결 정보를 생성하여 정책 저장 장치(160), 예를 들어 블록체인에 저장한다. 정책 관리 장치(150)는, 종단 통신 장치(110, 130) 간의 전체 경로를 조합한 후, 전체 경로에서 제 1 보안 모듈(120)을 기준으로 한 양방향 연결 정보와 제 2 보안 모듈(140)을 기준으로 한 양방향 연결 정보를 각각 정책 저장 장치(160)에 전송하여 저장한다. 예를 들어, 상기 제 1 보안 모듈(120)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 1 종단 통신 장치(110)의 ID, 제 1 보안 모듈(120)의 ID 그리고 제 2 보안 모듈(140)의 ID로 이루어진 연결 정보이다. 그리고 제 2 보안 모듈(140)을 기준으로 한 ID 기반의 양방향 연결 정보는, 제 2 종단 통신 장치(130)의 ID, 제 2 보안 모듈(140)의 ID, 제 1 보안 모듈(120)의 ID로 이루어진 연결 정보이다.
도 4는 도 1의 종단 간 통신 시스템의 실시예로서 IoT 단말과 IoT 서비스 서버 간 통신을 나타낸 도면이다. 예를 들어, IoT 단말은, 마이크로폰과 스피커를 구비하여, 사용자로부터 음성 요청을 수신하고 이를 IoT 서비스 서버로 전송하고, IoT 서비스 서버로부터 수신되는 응답을 수신하여 출력하는, 소위 인공지능 스피커이다. IoT 서비스 서버는 인공지능 음성 어시스턴트(Voice Assistant) 서비스를 제공하는 장치로서 음성을 인식하고 분석하여 이에 대한 서비스를 제공한다. 도 4를 참조한 실시예에서 IoT 단말(410)은 도 1을 참조한 실시예에서의 제 1 종단 통신 장치(110)일 수 있고, IoT 서비스 서버(430)는, 도 1을 참조한 실시예에서의 제 2 종단 통신 장치(130)일 수 있다. 제 1 보안 모듈(120)은 IoT 단말(410)에 물리적인 어댑터 형태로 연결될 수 있고, 또는 소프트웨어로 구현되어 IoT 단말(410)에 설치되어 동작할 수 있다. 도 4에서 게이트웨이(420)는 예를 들어 공유기일 수 있다. 제 1 보안 모듈(120)에 복수의 IoT 단말(410)이 연결될 때 게이트웨이(420)는 공인 IP 주소를 할당받고 상기 복수의 IoT 단말(410)에는 사설 IP 주소를 할당한다. IoT 단말(410)은 게이트웨이(420) 및 인터넷(440)을 통해 IoT 서비스 서버(430)와 통신한다.
도 4를 참조한 실시예에서, IoT 서비스 서버(430)에 제 2 보안 모듈(140)이 연결되면, 정책 관리 장치(150)는 IoT 서비스 서버(430)에 임시적인 ID를 부여하여 제 2 보안 모듈(140)의 ID와의 연결 관계를 설정한다. 이후 IoT 단말(410)에 제 1 보안 모듈(120)이 연결되면, 정책 관리 장치(150)는 IoT 단말(410)에 임시적인 ID를 부여하여 제 1 보안 모듈(120)의 ID와의 연결 관계를 설정한다. 정책 관리 장치(150)는 IoT 단말(140)의 MAC 주소, IoT 서비스 서버(430)의 IP 주소를 이용하여 이들이 동일한 서비스 그룹에 속한 것을 확인한 후, IoT 서비스 서버(430)와 제 2 보안 모듈(140) 간의 ID 연결 관계 정보, 및 IoT 단말(410)과 제 1 보안 모듈(120) 간의 ID 연결 관계 정보를 이용하여, 보안 모듈(120, 140)을 기준으로 한 양방향 연결 정보를 생성하여 정책 저장 장치(160)에 저장한다.
도 5는 도 4의 시스템에서 IoT 서비스 서버와 제 2 보안 모듈 간의 ID 연결 관계 정보를 생성하는 방법을 설명하는 흐름도이다.
도 5를 참조하면, 단계 S501에서, IoT 서비스 서버(430)에 제 2 보안 모듈(140)이 통신 가능하게 연결된다. 여기서 통신 가능한 연결이란, 물리적 연결 또는 소프트웨어적 연결을 포함한다. 단계 S502에서, 제 2 보안 모듈(140)은 IoT 서비스 서버(430)의 공인 IP 주소를 수집하고 그 수집된 공인 IP 주소와 자신의 ID1를 정책 관리 장치(150)로 전송한다.
단계 S503에서, 정책 관리 장치(150)는, IoT 서비스 서버(430)에 임시적인 ID2를 부여한다. 단계 S504에서, 정책 관리 장치(150)는 제 2 보안 모듈(140)과 IoT 서비스 서버(430) 간의 ID 연결 관계, 즉 (ID1, ID2)를 저장한다. 단계 S505에서, 정책 관리 장치(150)는, IoT 서비스 서버(430)의 공인 IP 주소를 이용하여 서비스 그룹을 확인한다. 예를 들어, 삼성전자의 IoT 서비스임을 확인한다. 단계 S506에서, 정책 관리 장치(150)는, 해당 서비스 그룹에 IoT 서비스 서버(430)의 ID2를 매칭하여 저장한다.
도 6은 도 4의 시스템에서 IoT 단말과 IoT 서비스 서버 간의 연결 정책을 설정하는 방법을 설명하는 흐름도로서, 도 5를 참조하여 설명한 절차 이후에 동작하는 흐름도이다.
도 6을 참조하면, 단계 S601에서, IoT 단말(410)에 제 1 보안 모듈(120)이 통신 가능하게 연결된다. 여기서 통신 가능한 연결이란, 물리적 연결 또는 소프트웨어적 연결을 포함한다. 단계 S602에서, 제 1 보안 모듈(120)은 IoT 단말(410)의 MAC 주소를 수집하고 그 수집된 MAC 주소와 자신의 ID3을 정책 관리 장치(150)로 전송한다.
단계 S603에서, 정책 관리 장치(150)는, IoT 단말(410)에 임시적인 ID4를 부여한다. 단계 S604에서, 정책 관리 장치(150)는 제 1 보안 모듈(120)과 IoT 단말(410) 간의 ID 연결 관계, 즉 (ID3, ID4)를 저장한다. 단계 S605에서, 정책 관리 장치(150)는, IoT 단말(410)의 MAC 주소를 이용하여 서비스 그룹을 확인한다. 예를 들어, 삼성전자의 IoT 단말임을 확인한다.
도 5를 참조한 실시예에서 IoT 서비스 서버(430)의 ID2가 서비스 그룹에 매칭되어 있으므로, 단계 S606에서, 정책 관리 장치(150)는, IoT 단말(410)과 IoT 서비스 서버(430) 간의 ID 연결 관계 정보(ID2 : ID4)를 생성한다. 단계 S607에서, 정책 관리 장치(150)는, IoT 단말(410)과 IoT 서비스 서버(430) 간의 ID 연결 관계 정보(ID2 : ID4)를 이용하여, IoT 서비스 서버(430)와 제 2 보안 모듈(140) 간의 ID 연결 관계 정보, 및 IoT 단말(410)과 제 1 보안 모듈(120) 간의 ID 연결 관계 정보를 확인하고, 이를 이용하여 IoT 단말(410)과 IoT 서비스 서버(430) 간의 ID 기반 전체 경로를 조합한다. ID 기반 전체 경로는 (ID2 : ID1 : ID3 : ID4)이다.
단계 S608에서, 정책 관리 장치(150)는 ID 기반 전체 경로를 기초로, 보안 모듈(120, 140)을 기준으로 한 양방향 연결 정보를 생성하여 정책 저장 장치(160)에 저장한다. 제 1 보안 모듈(120)을 기준으로 한 ID 기반의 양방향 연결 정보는, (ID4, ID3, ID1)이다. 제 2 보안 모듈(140)을 기준으로 한 ID 기반의 양방향 연결 정보는, (ID3, ID1, ID2)이다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
110 : 제 1 종단 통신 장치
120 : 제 1 보안 모듈
130 : 제 2 종단 통신 장치
140 : 제 2 보안 모듈
150 : 정책 관리 장치
160 : 정책 저장 장치
170 : 통신망
210 : 수신부
220 : 식별자 관리부
230 : 연결 관계 정보 DB
240 : 서비스 그룹 식별부
250 : 서비스 그룹 정보 DB
260 : 종단 장치 관리부
270 : 정책 관리부

Claims (24)

  1. 정책 관리 장치에서 제 1 종단 통신 장치와 제 2 종단 통신 장치 간의 연결 정책을 설정하는 방법으로서,
    상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보를 저장하는 단계;
    상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를 저장하는 단계;
    서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 단계; 및
    상기 제 1, 2 연결 관계 정보를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함하는 방법.
  2. 제 1 항에 있어서,
    상기 제 1 연결 관계 정보를 저장하는 단계는,
    제 1 보안 모듈로부터, 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 단계;
    상기 제 1 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 1 보안 모듈의 제 1 식별자와 매칭하는 단계를 포함하는 것을 특징으로 하는 방법.
  3. 제 2 항에 있어서,
    상기 고유 정보를 수신하는 단계는,
    상기 제 1 종단 통신 장치에 상기 제 1 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 수행되는 것을 특징으로 하는 방법.
  4. 제 1 항에 있어서,
    상기 제 2 연결 관계 정보를 저장하는 단계는,
    제 2 보안 모듈로부터, 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 단계;
    상기 제 2 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 2 보안 모듈의 식별자와 매칭하는 단계를 포함하는 것을 특징으로 하는 방법.
  5. 제 4 항에 있어서,
    상기 고유 정보를 수신하는 단계는,
    상기 제 2 종단 통신 장치에 상기 제 2 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 수행되는 것을 특징으로 하는 방법.
  6. 제 1 항에 있어서,
    상기 대응 관계를 확인하는 단계는,
    상기 제 1 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보와 상기 제 2 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보의 일치를 확인하는 단계; 및
    상기 제 1 종단 통신 장치의 식별자와 상기 제 2 종단 통신 장치의 식별자를 매칭한, 제 3 연결 관계 정보를 획득하는 단계;를 포함하는 것을 특징으로 하는 방법.
  7. 제 6 항에 있어서,
    상기 서비스 그룹 정보의 일치를 확인하는 단계는,
    상기 제 1 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 상기 제 1 종단 통신 장치의 식별자를 매칭하여 저장하는 단계; 및
    상기 2 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 매칭된 상기 제 1 종단 통신 장치의 식별자를 확인하는 단계;를 포함하는 것을 특징으로 하는 방법.
  8. 제 6 항에 있어서,
    상기 정책 저장수단에 저장하는 단계는,
    상기 제 3 연결 관계 정보를 이용하여 상기 제 1, 2 연결 관계 정보를 조회하는 단계;
    조회된 상기 제 1, 2 연결 관계 정보를 이용하여 식별자들 기반의 상기 제 1, 2 종단 통신 장치 간의 전체 경로를 조합하는 단계; 및
    상기 전체 경로에서 상기 제 1 보안 모듈을 기준으로 한 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 양방향 연결 정보를 각각 정책 저장수단에 저장하는 단계;를 포함하는 방법.
  9. 제 1 항에 있어서,
    상기 정책 저장수단은, 블록체인인 것을 특징으로 하는 방법.
  10. 제 1 항에 있어서,
    상기 고유 정보들은, IP 주소 또는 MAC 주소인 것을 특징으로 하는 방법.
  11. 제 1 항에 있어서,
    상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는,
    상기 제 1 종단 통신 장치의 식별자, 상기 제 1 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것을 특징으로 하는 방법.
  12. 제 11 항에 있어서,
    상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는,
    상기 제 2 종단 통신 장치의 식별자, 상기 제 2 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것을 특징으로 하는 방법.
  13. 제 1 종단 통신 장치와 제 2 종단 통신 장치 간의 연결 정책을 설정하는 정책 관리 장치에 있어서,
    상기 제 1 종단 통신 장치의 식별자와, 상기 제 1 종단 통신 장치에 연결된 제 1 보안 모듈의 식별자를 매칭한, 제 1 연결 관계 정보와, 상기 제 2 종단 통신 장치의 식별자와, 상기 제 2 종단 통신 장치에 연결된 제 2 보안 모듈의 식별자를 매칭한, 제 2 연결 관계 정보를, 연결 관계 정보 저장부에 저장하는 식별자 관리부;
    서비스 그룹 정보와 상기 제 1, 2 종단 통신 장치의 고유 정보들에 기초하여 상기 제 1 종단 통신 장치와 상기 제 2 종단 통신 장치의 대응 관계를 확인하는 종단 장치 관리부; 및
    상기 제 1, 2 연결 관계 정보를 이용하여 상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보를 각각 정책 저장부에 저장하는 정책 관리부;를 포함하는 정책 관리 장치.
  14. 제 13 항에 있어서,
    제 1 보안 모듈로부터, 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 수신부;를 더 포함하고,
    상기 식별자 관리부는,
    상기 제 1 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 1 보안 모듈의 제 1 식별자와 매칭하는 것을 특징으로 하는 정책 관리 장치.
  15. 제 14 항에 있어서,
    상기 수신부는,
    상기 제 1 종단 통신 장치에 상기 제 1 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 상기 제 1 보안 모듈로부터 상기 제 1 보안 모듈의 식별자 및 상기 제 1 종단 통신 장치의 고유 정보를 수신하는 것을 특징으로 하는 정책 관리 장치.
  16. 제 13 항에 있어서,
    제 2 보안 모듈로부터, 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 수신부;를 더 포함하고,
    상기 식별자 관리부는,
    상기 제 2 종단 통신 장치에 식별자를 부여하고 그 부여한 식별자를 상기 제 2 보안 모듈의 식별자와 매칭하는 것을 특징으로 하는 정책 관리 장치.
  17. 제 16 항에 있어서,
    상기 수신부는,
    상기 제 2 종단 통신 장치에 상기 제 2 보안 모듈이 통신 가능하게 연결되는 동작에 응답하여 제 2 보안 모듈로부터 상기 제 2 보안 모듈의 식별자 및 상기 제 2 종단 통신 장치의 고유 정보를 수신하는 것을 특징으로 하는 정책 관리 장치.
  18. 제 13 항에 있어서,
    상기 종단 장치 관리부는,
    상기 제 1 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보와 상기 제 2 종단 통신 장치의 고유 정보로 확인한 서비스 그룹 정보의 일치를 확인하고, 상기 제 1 종단 통신 장치의 식별자와 상기 제 2 종단 통신 장치의 식별자를 매칭한, 제 3 연결 관계 정보를 획득하는 것을 특징으로 하는 정책 관리 장치.
  19. 제 18 항에 있어서,
    상기 종단 장치 관리부는,
    상기 제 1 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 상기 제 1 종단 통신 장치의 식별자를 매칭하여 저장하고, 상기 2 종단 통신 장치의 고유 정보를 이용하여 확인한 서비스 그룹 정보에 매칭된 상기 제 1 종단 통신 장치의 식별자를 확인함으로써, 제 1, 2 종단 통신 장치의 서비스 그룹 정보의 일치를 확인하는 것을 특징으로 하는 정책 관리 장치.
  20. 제 18 항에 있어서,
    상기 정책 관리부는,
    상기 제 3 연결 관계 정보를 이용하여 상기 제 1, 2 연결 관계 정보를 조회하고, 조회된 상기 제 1, 2 연결 관계 정보를 이용하여 식별자들 기반의 상기 제 1, 2 종단 통신 장치 간의 전체 경로를 조합하며, 상기 전체 경로에서 상기 제 1 보안 모듈을 기준으로 한 양방향 연결 정보와 상기 제 2 보안 모듈을 기준으로 한 양방향 연결 정보를 각각 정책 저장부에 저장하는 것을 특징으로 하는 정책 관리 장치.
  21. 제 13 항에 있어서,
    상기 정책 저장부는, 블록체인인 것을 특징으로 하는 정책 관리 장치.
  22. 제 13 항에 있어서,
    상기 고유 정보들은, IP 주소 또는 MAC 주소인 것을 특징으로 하는 정책 관리 장치.
  23. 제 13 항에 있어서,
    상기 제 1 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는,
    상기 제 1 종단 통신 장치의 식별자, 상기 제 1 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것을 특징으로 하는 정책 관리 장치.
  24. 제 23 항에 있어서,
    상기 제 2 보안 모듈을 기준으로 한 식별자 기반의 양방향 연결 정보는,
    상기 제 2 종단 통신 장치의 식별자, 상기 제 2 보안 모듈의 식별자, 상기 제 2 보안 모듈의 식별자로 이루어진 것을 특징으로 하는 정책 관리 장치.
KR1020180077308A 2018-07-03 2018-07-03 종단 간 통신의 정책을 설정하는 장치 및 방법 KR102548430B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180077308A KR102548430B1 (ko) 2018-07-03 2018-07-03 종단 간 통신의 정책을 설정하는 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180077308A KR102548430B1 (ko) 2018-07-03 2018-07-03 종단 간 통신의 정책을 설정하는 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20200004193A true KR20200004193A (ko) 2020-01-13
KR102548430B1 KR102548430B1 (ko) 2023-06-26

Family

ID=69153073

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180077308A KR102548430B1 (ko) 2018-07-03 2018-07-03 종단 간 통신의 정책을 설정하는 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102548430B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110093546A (ko) * 2010-02-12 2011-08-18 한국전자통신연구원 보안 모듈 복제 검출 시스템 및 방법
KR101778768B1 (ko) * 2017-04-21 2017-09-18 (주)케이사인 IoT 기기 제어 방법 및 시스템
JP2017175373A (ja) * 2016-03-23 2017-09-28 ソフトバンク株式会社 設定情報生成装置、ネットワーク制御装置、方法、及び、プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110093546A (ko) * 2010-02-12 2011-08-18 한국전자통신연구원 보안 모듈 복제 검출 시스템 및 방법
JP2017175373A (ja) * 2016-03-23 2017-09-28 ソフトバンク株式会社 設定情報生成装置、ネットワーク制御装置、方法、及び、プログラム
KR101778768B1 (ko) * 2017-04-21 2017-09-18 (주)케이사인 IoT 기기 제어 방법 및 시스템

Also Published As

Publication number Publication date
KR102548430B1 (ko) 2023-06-26

Similar Documents

Publication Publication Date Title
US7564795B2 (en) Obtaining per-port location information for wired LAN switches
US20150058473A1 (en) Network address mapping to nearby location identification
US20080008109A1 (en) Method and apparatus for bridging wireless control networks
US10630551B2 (en) Method and apparatus for automatic networking of gateway device
EP2620004A2 (en) System and method for maintaining privacy in a wireless network
CN106686129A (zh) 一种负载均衡方法及系统
JP2015192386A (ja) データ転送制御装置、データ転送制御方法、及び、プログラム
US10542481B2 (en) Access point beamforming for wireless device
JP5901586B2 (ja) 中継装置、通信システム、及びノードの設定情報の取得方法
JP2001320373A (ja) 無線lanシステム
US9755833B2 (en) Identification information management system, method of generating and managing identification information, terminal, and generation and management programs
CN111083120B (zh) 数据传输方法、装置、电子设备和存储介质
CN114338153B (zh) 一种IPSec的协商方法及装置
TWI514822B (zh) 無線存取點裝置、網路系統及其網路自動佈建方法
KR102156206B1 (ko) 종단 간 통신에 보안을 제공하기 위한 장치 및 방법
JP5487116B2 (ja) 企業内内線アイデンティティをネットワークローミングする方法及び装置
CN102447626A (zh) 具有策略驱动路由的主干网
US11108588B2 (en) Configuration information to an internet of things multiplexer
KR102548430B1 (ko) 종단 간 통신의 정책을 설정하는 장치 및 방법
US10511503B2 (en) Server device and communication system
JP5937563B2 (ja) 通信基地局およびその制御方法
KR102023115B1 (ko) 통합형 id 기반의 통신 방법 및 통신 시스템
KR20210051208A (ko) 종단 간 통신에 보안을 제공하기 위한 장치 및 방법
CN109982427B (zh) 一种信息处理方法、装置
KR20210051207A (ko) 종단 간 통신에 보안을 제공하기 위한 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant