KR20200021364A - 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치 - Google Patents

이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치 Download PDF

Info

Publication number
KR20200021364A
KR20200021364A KR1020180097019A KR20180097019A KR20200021364A KR 20200021364 A KR20200021364 A KR 20200021364A KR 1020180097019 A KR1020180097019 A KR 1020180097019A KR 20180097019 A KR20180097019 A KR 20180097019A KR 20200021364 A KR20200021364 A KR 20200021364A
Authority
KR
South Korea
Prior art keywords
information
manager
authentication
network
protector
Prior art date
Application number
KR1020180097019A
Other languages
English (en)
Other versions
KR102132490B1 (ko
Inventor
이형규
김기원
김병식
박혜숙
유윤식
이경휴
이종국
임진혁
전기철
정병창
정부금
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020180097019A priority Critical patent/KR102132490B1/ko
Publication of KR20200021364A publication Critical patent/KR20200021364A/ko
Application granted granted Critical
Publication of KR102132490B1 publication Critical patent/KR102132490B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W16/00Network planning, e.g. coverage or traffic planning tools; Network deployment, e.g. resource partitioning or cells structures
    • H04W16/18Network planning tools
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • H04L67/145Termination or inactivation of sessions, e.g. event-controlled end of session avoiding end of session, e.g. keep-alive, heartbeats, resumption message or wake-up for inactive or interrupted session

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법이 개시된다. 이 방법은, 다수의 네트워크 노드들이, DDoS 공격으로부터 TA(Trust Access) 매니저를 보호하는 TA 보호기에게 인증 정보를 전송하고, 상기 TA 보호기가 상기 인증 정보를 상기 TA 매니저에게 포워딩하는 단계; 상기 TA 매니저가, 상기 인증 정보를 기반으로 상기 다수의 네트워크 노드들에 대한 인증 과정을 수행하고, 인증 성공 여부를 나타내는 인증 결과를 상기 TA 보호기에게 전송하는 단계; 상기 TA 보호기가, 상기 인증 결과에 따라 다수의 네트워크 노드들 중에서 인증된 네트워크 노드들에게 상기 TA 매니저와 연결되기 위한 연결 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 연결 정보를 기반으로 상기 TA 매니저와 제어 채널을 오픈하는 단계; 및 상기 TA 매니저가 상기 인증된 네트워크 노드들에게 상기 오픈된 제어 채널을 통해 데이터 채널 설정을 위한 데이터 채널 구축 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 데이터 채널 구축 정보를 기반으로 데이터 채널을 구축하는 단계를 포함한다.

Description

이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치{METHOD AND APPARATUS FOR TRUST NETWORK CONFIGURATIONS OF MOBILE DEVICES IN SOFTWARE-DEFINED NETWORK}
본 발명은 이동형 장치들 간의 신뢰적인 네트워크 구성과 관련된 것이다.
최근 소프트웨어적으로 네트워크의 연결성을 보장하고 관리하기 위한 기술들이 등장하고 있다. 소프트웨어 정의 네트워크(SDN: Software Defined Network) 기술, 소프트웨어 정의 경계(SDP: Software Defined Perimeter) 기술 등이 그 예이다.
SDN 기술은 네트워크의 설정 및 구축과 관리측면에서 연구되고 있는 기술이고 SDP 기술은 네트워크의 보안적인 측면에 집중하여 연구되고 있는 기술이다.
SDP 기술은 Controller(제어기), Initiator(요청자), Acceptor(승낙자)라는 세가지 구성요소를 가지며, 제어채널을 통해 인증되지 않은 노드에 대해서는 데이터 채널을 구축할 수 없도록 관리하는 기술이다.
SDP 기술에서 네트워크 서비스를 요청하는 단말 노드에 탑재되는 구성요소는 Initiator라 부르며 게이트웨이나 서버에 탑재되어 데이터 네트워크를 직접적으로 제공하는 서비스 구성요소를 Acceptor라고 부른다.
기존 SDP 기술에서는, Controller가 외부에 노출되어 사이버 공격에 집중될 수 있는 단점과 Initiator와 Acceptor라는 서로 비대칭적인 절차 및 구성요소를 가짐으로 인해 복잡한 네트워크 환경이나 서버-to-서버, GW-to-GW 서비스 환경에 적용하기가 애매하다는 단점이 있다.
더욱이, 이동형 장치 위주의 환경에서 적절하고 안전한 네트워크 서비스를 제공하기 위한 방법 및 절차도 불투명하다. 이러한 단점으로 인해 이동형 GW의 경우 Initiator와 Acceptor의 역할을 동시에 수행할 수 없게 된다.
일 측면에서의 본 발명의 목적은, 위의 문제점을 극복하기 위해 Initiator와 Acceptor의 구분없이 동일한 절차로 제어채널 구축과정을 제공하고 기존 고정된 네트워크 환경뿐만 아니라 이동형 환경에서도 안전한 신뢰네트워크의 구성을 위하여 이동형 장치들의 소프트웨어 기반 연결 관리 및 신뢰 네트워크 구성을 위한 보다 안전한 방법 및 장치를 제공하고자 한다.
즉, 본 발명은, 소프트웨어 정의 기반 경계(SDP) 기술의 기존 문제점을 개선하고 단말의 물리적 네트워크 환경에 제약이 있는 이동형 환경에서도 보다 안전한 네트워크 관리 구조를 제공함으로써 향후 IoT환경 등 네트워크 및 서비스 발전 추세에 보다 쉽게 정합 가능한 신뢰 네트워크 연결관리구조 및 방법을 제공하려고 한다.
상술한 목적을 달성하기 위한 본 발명의 일면에 따른 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법은, 다수의 네트워크 노드들이, DDoS 공격으로부터 TA(Trust Access) 매니저를 보호하는 TA 보호기에게 인증 정보를 전송하고, 상기 TA 보호기가 상기 인증 정보를 상기 TA 매니저에게 포워딩하는 단계; 상기 TA 매니저가, 상기 인증 정보를 기반으로 상기 다수의 네트워크 노드들에 대한 인증 과정을 수행하고, 인증 성공 여부를 나타내는 인증 결과를 상기 TA 보호기에게 전송하는 단계; 상기 TA 보호기가, 상기 인증 결과에 따라 다수의 네트워크 노드들 중에서 인증된 네트워크 노드들에게 상기 TA 매니저와 연결되기 위한 연결 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 연결 정보를 기반으로 상기 TA 매니저와 제어 채널을 오픈하는 단계; 및 상기 TA 매니저가 상기 인증된 네트워크 노드들에게 상기 오픈된 제어 채널을 통해 데이터 채널 설정을 위한 데이터 채널 구축 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 데이터 채널 구축 정보를 기반으로 데이터 채널을 구축하는 단계를 포함한다.
본 발명에 따르면, 기존의 Initiator와 Acceptor의 구분 없이 동일한 절차로 제어채널 구축과정을 제공하고 기존 고정된 네트워크 환경뿐만 아니라 이동 네트워크 환경에서도 안전한 신뢰네트워크를 구성할 수 있다.
나아가, 현재 모바일 서비스 추세에 비추어 볼 때, 이동 네트워크 환경의 장치들, 예를 들면, 이동형 단말 및 이동형 게이트웨이 등의 활용성은 점점 더 커지고 있기 때문에 다양한 네트워크들이 추가되고 언제 어느 곳에서도 연결이 가능한 초연결 사회의 네트워크 핵심기술로써 더욱 활용도가 높을 것으로 기대된다.
도 1은 본 발명의 일 실시 예에 따른 신뢰 네트워크 연결 구성을 위한 서비스 구조를 나타내는 도면이다.
도 2는 본 발명의 일 실시 예에 따른 제어 채널 구축 절차 중에서 고정형 GW/서버와 TA 매니저 간에 수행되는 등록 과정을 나타내는 흐름도이다.
도 3은 본 발명의 일 실시 예에 따른 제어 채널 구축 절차 중에서 이동형 GW와 TA 매니저 간에 수행되는 등록과정을 나타내는 흐름도이다.
도 4는 본 발명의 일 실시 예에 따른 이동형 단말과 고정형 GW/서버 사이의 네트워크 연결 요청 및 데이터 채널 구축 과정을 나타내는 흐름도이다.
이하, 본 발명의 다양한 실시예가 첨부된 도면과 연관되어 기재된다. 본 발명의 다양한 실시예는 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들이 도면에 예시되고 관련된 상세한 설명이 기재되어 있다. 그러나, 이는 본 발명의 다양한 실시예를 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 다양한 실시예의 사상 및 기술 범위에 포함되는 모든 변경 및/또는 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 도면의 설명과 관련하여, 유사한 구성요소에 대해서는 유사한 참조 부호가 사용되었다. 본 발명의 다양한 실시예에서 사용될 수 있는“포함한다” 또는 “포함할 수 있다” 등의 표현은 개시(disclosure)된 해당 기능, 동작 또는 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작 또는 구성요소 등을 제한하지 않는다. 또한, 본 발명의 다양한 실시예에서, "포함하다" 또는 "가지다" 등의 용어는 명세서에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
도 1은 본 발명의 일 실시 예에 따른 신뢰 네트워크 연결 구성을 위한 서비스 구조를 나타내는 도면이다.
도 1을 참조하면, 본 발명의 일 실시 예에 따른 서비스 구조(또는 전체 시스템)는 이동형 단말, 이동형 게이트웨이(이동형 GW), 이동형 라우터 등으로 구성되는 이동 네트워크 환경의 장치들(또는 이동형 네트워크 노드들)과 고정형 게이트웨이(고정형 GW), 고정형 라우터, 서버 등으로 구성되는 고정 네트워크 환경의 장치들(고정형 네트워크 노드들) 간에 소프트웨어 정의 기반의 신뢰적인 네트워크 관리 구조를 확보하기 위한 절차 및 방법을 제공한다.
이를 위해, 본 발명의 일 실시 예에 따른 서비스 구조(또는 전체 시스템)(100)는 도 1에 도시된 바와 같이, 네트워크 노드(110, 120), TA 보호기(Trust Access Protector, 130), TA 매니저(140) 및 인증 서버(150)를 포함한다.
상기 네트워크 노드(110, 120)는 제1 네트워크 노드(110) 및 제2 네트워크 노드(120)를 포함한다. 상기 제1 네트워크 노드(110)는 이동형 단말, 이동형 게이트웨이, 이동형 라우터 등과 같은 이동 네트워크 환경의 장치들을 포함한다. 상기 제2 네트워크 노드(120)는 고정형 게이트웨이, 고정형 라우터, 고정형 서버 등과 같은 고정 네트워크 환경의 장치들을 포함한다. 상기 제1 네트워크 노드(110) 내부에는 제1 TA(Trust Access) 에이전트(112)가 탑재된다. 제2 네트워크 노드(120) 내부에는 제2 TA 에이전트(112)가 탑재된다.
상기 TA 보호기(130)는 상기 TA 에이전트들(112, 122)이 네트워크에 접속하기 위해 인증 요청(①)에 따른 초기 인증절차를 수행한다. 또한, 상기 TA 보호기(130)는 DDoS(Distributed Denial of Service) 공격으로부터 상기 TA 매니저(140)를 보호한다. 이러한 TA 보호기(130)는 프로세서, 메모리 및 통신인터페이스를 포함하도록 구성된 컴퓨팅 장치 또는 서버 장치일 수 있다.
상기 TA 매니저(140)는 상기 TA 보호기(130)로부터 상기 TA 에이전트들(112, 122)의 인증 정보를 수신하여 인증 서버(150)를 통해 인증 후 인증이 성공하면 상기 TA 에이전트들(112, 122)과 제어 채널(②)을 구성하여 관리한다. 또한, 상기 TA 매니저(140)는 인증된 상기 TA 에이전트들(112, 122)이 상호간에 데이터 채널(③)을 구축하도록 네트워크 노드들(110, 120) 간의 데이터 채널 구축 정보를 관리한다. 데이터 채널 구축 정보는, 두 노드 간에 데이터 기반 연결 서비스를 제공하기 위해 요구되는 정보를 의미한다. 이러한 TA 매니저(140)는 프로세서, 메모리 및 통신인터페이스를 포함하도록 구성된 컴퓨팅 장치 또는 서버 장치일 수 있다.
상기 인증 서버(150)는 상기 TA 매니저(140)로부터 상기 TA 에이전트들(112, 122)의 인증 정보를 수신하고, 수신된 인증 정보를 기반으로 인증 절차를 수행한다.
이러한 구성들(110~150)로 이루어진 신뢰 네트워크 연결 구성을 위한 서비스 구조에서는, 상기 TA 에이전트들(112, 122)의 인증 후에 제어 채널(②)이 생성되고, 상기 TA 에이전트들(112, 122)이 상기 생성된 제어 채널(②)을 통해 수신된 제어 명령과 정책에 의해 상기 TA 에이전트들(112, 122) 간의 데이터 채널 연결(③)이 제공된다.
이하, 도 1에 도시된 서비스 구조에서 따른 서비스 실시 예에 대해 상세히 설명하기로 하며, 설명의 간략화를 위해, 상기 인증 서버(150)는 상기 TA 매니저(140)에 포함된 구성으로 설명하고, 상기 TA 보호기(130)와 상기 TA 매니저(140) 사이의 연결은 안전하게 구축된 것으로 가정한다.
서비스 실시 예
도 1에 도시된 서비스 구조에서 제공되는 주요 절차는 상기 TA 에이전트들(112 및 122)과 TA 보호기(130) 사이에서 진행되는 인증 요청 절차, 상기 TA 에이전트들(112 및 122)과 상기 TA 매니저(140) 사이에서 진행되는 제어 채널 구축 절차(또는 제어 채널 구성 절차) 및 상기 제1 TA 에이전트(112)와 상기 제2 TA 에이전트(122) 사이에서 진행되는 데이터 채널 구축 절차(또는 데이터 채널 구성 절차)를 포함한다.
인증 요청 절차
먼저, 인증 요청 절차는 통신을 원하는 네트워크 노드들(110 및 120)(또는 TA 에이전트들(112 및 122))과 TA 보호기(130) 사이에 일어난다. 네트워크 상에 존재하는 네트워크 노드(110)는, 통신하고자 하는 상대 네트워크 노드(120)와 데이터 채널 구축을 위해, 상기 TA 보호기(130)가 제공하는 통신 인터페이스를 통해 먼저 자신을 인증하여야 한다.
상기 TA 보호기(130)는 네트워크 노드들(110 및 120)로부터의 인증 요청 메시지에 포함된 인증 정보를 노드 정보와 함께 TA 매니저(140)로 송신하고, 이를 수신한 상기 TA 매니저(140)는 인증 과정을 통해 해당 노드(110 및 120)에 대한 인증 과정을 수행한다.
인증이 성공하면, 상기 TA 보호기(130)는 네트워크 노드(110 및 120)가 상기 TA 매니저와 제어 채널을 구축할 수 있도록 상기 TA 매니저(140)의 연결 정보(예를 들면, IP, 포트 정보 등)와 채널 인증 토큰을 자신의 인증을 요청한 네트워크 노드(110 및 120)에게 송신한다. 이러한 연결 정보의 송신 과정은 상기 TA 매니저(140)가 DDoS와 같은 서비스 거부 공격에 노출되는 것을 방지하기 위함이다.
이후 상기 TA 매니저(140)와 해당 노드(110, 120) 사이의 제어 채널 구축 절차가 시작된다.
인증 요청 절차를 위해, 상기 TA 보호기(130)는 인증을 요청한 네트워크 노드(110, 120)가 자신(130)을 신뢰하고 인증 요청 절차를 수행할 수 있도록 안전한 채널을 제공하여야 한다.
제어 채널 구축 절차
제어 채널 구축 절차는 상기 TA 에이전트들(112 및 122)과 상기 TA 매니저(140) 사이에서 일어난다. 네트워크의 신뢰적인 연결구성을 위해 가장 기본이 되는 장치는 TA 매니저(140)이다.
상기 TA 매니저(140)는 접속을 시도하는 네트워크 노드들(110, 120)을 인증하고, 인증된 노드들(110, 120)(또는 TA 에이전트들(112 및 122))과의 제어 채널(②)을 유지 및 관리하는 역할을 수행하며, 유지 및 관리에 필요한 관련 정보들을 관리한다.
상기 TA 매니저(140)는 인증된 노드들(110, 120) 또는 TA 에이전트들(112 및 122))이 상호 데이터 채널(③)을 구축할 수 있게 하는 관련 정보들을 관리한다.
관련 정보들은 다음과 같다.
- 네트워크 노드들(110, 120)의 서비스 및 접근 제어 정보
- 네트워크 노드들(110, 120)의 주소 정보
- 네트워크 노드들(110, 120)의 인증 정보(예, ID, 비밀정보, 인증서 등)
- 네트워크 노드들(110, 120)의 제어 채널 정보
- 네트워크 노드들(110, 120)의 데이터 채널 관리 정보(데이터 채널 연결 관리 정보, 보안 속성 정보, 터널링 정보 등)
- 네트워크 노드들(110, 120)의 서비스 접근 제어 정보
- 정해진 TA 보호기의 등록 정보 및 안전한 연결 관리 정보(TA 보호기의 인증 정보, TA 보호기의 연결정보 등)
상기 제어 채널 정보는 인증 후 등록된 네트워크 노드들 중에서 로그인된 노드들(110, 120)에 대한 식별 정보, 연결 주소 정보, 연결 노드 정보, 연결 상태 정보, 세션 식별 정보, 로그인 정보, 채널 인증 토큰 등을 포함한다.
상기 데이터 채널 관리 정보는 상기 TA 매니저(140)가 임의의 두 노드간에 데이터 채널(③)을 구축할 수 있도록 요구되는 관리정보를 의미한다. 즉, 데이터 채널 관리 정보는 데이터 채널(③)이 구축되기 위한 양쪽 엔드 노드 정보, 보안이 필요하면 보안 속성 정보, 터널링이 필요하면 엔드간 터널링 정보 등을 포함할 수 있다.
상기 보안 속성 정보는 보안과 관련된 파라미터로서, 키값, 키의 크기, 사용되는 알고리즘 등과 관련된 정보를 포함한다.
상기 터널링 정보는 네트워크 연결 방법에서 경로에 존재하는 라우터 등을 의식하지 않고, 송신지와 목적지까지 하나의 터널처럼 연결하기 위한 정보로서, 셋업 정보, IP_in_IP 터널, IPsec 터널 등을 예로 들 수 있다.
이러한 정보는, 기존의 SDP(Software Defined Perimeter)가 가지는 비대칭성을 극복하기 위해, 상기 TA 매니저(140)가 관리하여야 하는 정보이고, 이 정보를 이용하여 상기 TA 매니저(140)는 단말이나 장비들의 통신이 어느 쪽에서 먼저 요청되어도 상관없이 대칭적으로 신뢰적 연결관리를 수행할 수 있도록 한다.
실제적으로 인터넷 서비스를 제공하는 사업자들의 네트워크에서 장치들의 데이터 채널 연결은 보통 [단말-to-서버], [단말-to-게이트웨이], [게이트웨이-to-게이트웨이], [게이트웨이-to-서버] 등과 같은 형태로 네트워크 토폴로지 차원에서 관리 및 구축된다.
이를 신뢰적으로 관리하기 위해 먼저 보호하려는 자원이 위치한 곳에 대한 연결성을 제공하는 장치인 게이트웨이, 서버 등에 탑재된 TA 에이전트는 TA 매니저(140)에 인증 후 TA 매니저(140)에 장치의 가용성 여부를 먼저 등록하게 한다. 실제 장치들의 가용성이 TA 매니저(140)에 등록되어 관리되지 않는다면 어떠한 단말 또는 장치도 네트워크에 접근할 수 없도록 관리되어야 한다.
TA 매니저(140)는 등록된 장치들에 대해 제어 채널(②)의 형성을 통해 채널의 상태 정보를 파악하고, 향후 어떤 장치나 단말의 네트워크 접근 요청 시 현재 가용한 등록된 장치와의 데이터 채널 구축 정보를 전달하게 된다.
제어 채널 구축 및 해제를 위해, 구축된 제어 채널(②)은 장치들의 로그인/로그아웃 기반으로 유지되거나 종료되며, https 또는 TLS 등으로 보호되어야 한다.
TA 매니저(140)에서 자원 보호를 위한 고정형 네트워크 노드들(고정 네트워크 환경의 고정형 GW/서버)의 등록과정은 도 2와 같다.
도 2를 참조하면, 먼저, 단계 S201에서, 네트워크 노드(고정형 GW/서버(120)) 또는 네트워크 노드(120)에 내장된 TA 에이전트(112 및 122)가 자신의 인증 정보를 TA 보호기(130)로 전송하여, TA 보호기(130)에게 자신(고정형 GW/서버(110 및 120))의 인증을 요청한다.
이어, 단계 S203에서, 상기 TA 보호기(130)가 고정형 GW/서버(120)로부터 수신한 고정형 GW/서버(120)의 인증 정보를 상기 TA 매니저(140)로 포워딩 한다.
이어, 단계 S205에서, 상기 TA 매니저(140)가 상기 TA 보호기(130)로부터 포워딩된 고정형 GW/서버(120)의 인증 정보를 기반으로 인증 과정을 수행하고, 인증 성공 시, 고정형 GW/서버(120)의 인증 정보에 포함된 고정형 GW/서버(120)의 노드 정보, 예를 들면, 식별 정보, IP 정보 등을 데이터베이스(도시하지 않음)에 등록한다.
이어, 단계 S207에서, 상기 TA 매니저(140)가 상기 인증 과정을 수행한 결과, 즉, 인증 성공 또는 실패 여부를 나타내는 인증 결과를 상기 TA 보호기(130)로 전송한다. 이때, 상기 고정형 GW/서버(120)의 인증 성공 시에, 상기 TA 매니저(140)는 채널 인증 토큰을 발급하게 되는데, 발급된 채널 인증 토큰을 상기 인증 결과와 함께 상기 TA 보호기(130)에게 전송한다. 이러한 채널 인증 토큰은 TA 매니저(140)와 고정형 GW/서버(120) 간의 제어 채널이 소실되지 않도록 관리하기 위한 용도로 사용된다. 이를 위해, TA 매니저(140)는, 아래의 단계 S209에서 설명하겠지만, 상기 고정형 GW/서버(120)의 인증이 끝나면, 제어 채널과 관련된 채널 인증 토큰을 발행하여 고정형 GW/서버(120)에게 전달하게 된다. 이후, 고정형 GW/서버(120)는 제어 채널을 통해 TA 매니저(140)에게 메시지를 전송할 때, 채널 인증 토큰을 메시지와 함께 전송함으로써, 인증된 제어 채널을 계속 유지할 수 있도록 한다. 이러한 채널 인증 토큰은 고정형 GW/서버(120)가 로그아웃되면 삭제되고, 단계 S201, S203 및 S205를 순차적으로 수행하여, 단계 S207에서 인증 성공하면, 재발급되어, TA 보호기(130)를 통해 고정형 GW/서버(120)로 전송되어 사용된다.
이어, 단계 S209에서, 상기 TA 보호기(130)가 상기 TA 매니저(140)로부터 인증 성공을 나타내는 상기 인증 결과와 채널 인증 토큰을 수신하면, 상기 인증 성공을 나타내는 인증 결과에 응답하여 상기 TA 매니저(140)와 연결되기 위한 연결 정보(TA 매니저(140)의 IP 정보, TA 매니저(140)의 port 정보 등)와 상기 채널 인증 토큰을 상기 고정형 GW/서버(120)로 송신한다. 만일, 상기 TA 보호기(130)가 상기 TA 매니저(140)로부터 인증 실패를 나타내는 상기 인증 결과를 수신하면, 도면에 도시하지는 않았으나, 상기 TA 보호기(130)가 상기 고정형 GW/서버(120)에게 인증 정보에 대한 재요청 메시지를 전송하고, 상기 재요청 매시지에 응답하여, 상기 고정형 GW/서버(120)는 상기 TA 보호기(130)를 거쳐 상기 TA 매니저(140)에게 자신(120)의 인증 정보를 전송하고, 상기 TA 매니저(140)는 상기 고정형 GW/서버(120)로부터 재전송된 인증 정보를 기반으로 상기 고정형 GW/서버(120)의 인증 절차를 반복 수행한다.
상기 상기 TA 매니저(140)와 연결되기 위한 연결 정보(TA 매니저(140)의 IP 정보, TA 매니저(140)의 port 정보 등)는 TA 보호기(130) 내에 사전에 등록된 정보일 수 있다. 또는, TA 매니저(140)가 인증 성공을 나타내는 인증 결과를 TA 보호기(130)에 전송하는 시점에서 상기 인증 결과와 함께 상기 TA 보호기(130)에 전송할 수도 있다.
이어, 단계 S211에서, 상기 고정형 GW/서버(110 및 120)가 상기 연결 정보(TA 매니저(140)의 IP 정보, TA 매니저(140)의 port 정보 등)와 상기 채널 인증 토큰을 이용하여 상기 TA 매니저(140)와의 제어 채널을 오픈한다.
이어, 단계 S213에서, 상기 제어 채널의 오픈과 동시에 또는 상기 제어 채널의 오픈 이후에, 상기 TA 매니저(140)는 상기 오픈된 제어 채널과 관련된 제어 채널 정보, 예를 들면, 인증 후 등록된 고정형 GW/서버 들 중에서 로그인된 고정형 GW/서버에 대한 노드 정보(로그인된 고정형 GW/서버(120)의 식별 정보, IP), 세션 식별 정보, 채널 인증 토큰, 로그인 정보 등을 데이터베이스에 등록한다.
이어, 단계 S215에서, 상기 고정형 GW/서버(110 및 120)는 상기 TA 매니저(140)에게 자신의 가용성을 나타내는 Keep Alive 상태 메시지를 주기적으로 보고한다.
한편, 고정형 네트워크 노드들(이동형 단말 또는 이동형 GW)가 존재하는 환경에서 단말의 네트워크 연결 서비스 요청을 위한 상기 이동형 GW와 상기 TA 매니저(140) 간에 수행되는 과정도 도 2의 등록과정과 거의 동일하게 수행된다.
보다 자세히 설명하면, 먼저, 이동형 네트워크 환경에서 이동형 GW는 자신을 통해 이동형 단말이 데이터 통신을 할 수 있도록 네트워크 서비스를 제공하여야 한다. 따라서, 먼저 이동형 게이트웨이가 기존에 구축된 네트워크와 데이터 채널의 연결성을 확보하기 위한 절차가 필요하다. 이것은 [이동형 GW-to-GW] 데이터 채널 연결을 위한 네트워크 연결 요청 과정에 의해 수행된다. TA 보호기(130)의 입장에서 이동형 GW의 등록과정은 단말의 서비스 연결 요청과 동일하게 보여질 것이다.
하지만, 만약 이동형 GW가 로그아웃 이전에 다른 IP 정보를 가진 위치에서 동작하게 된다면, 이를 제어 및 관리하기 위한 방법이 필요하다. 즉, 전술한 바와 같이, 인증되지 않은 노드와의 제어 채널이 구축되거나 인증된 상태에서 이동에 의해 제어 채널이 소실되지 않도록 TA 매니저는 이동형 게이트와의 인증이 끝나면, 구축된 제어 채널과 관련한 채널 인증 토큰을 발행하여 이동형 단말들(또는 이동형 장치들)에게 전달하게 된다. 이후, 이동형 단말들(또는 이동형 장치들)은 제어 채널을 통해 TA 매니저(140)에게 메시지 전송 시, 채널 인증 토큰을 메시지와 함께 전송함으로써, 인증된 제어 채널을 계속 유지할 수 있도록 한다. 이러한 채널 인증 토큰은 이동형 단말들(또는 이동형 장치들)이 로그아웃되면 삭제되고, 로그인하면 재발급되어야 사용되어야 한다.
이러한 상기 이동형 GW의 등록 과정과 제어 채널 구축 과정을 포함하는 서비스 실시 예는 도 3과 같다.
도 3의 단계 S301~S315는 도 2의 단계 S201~S215에 각각 대응하는 것으로, 당업자라면, 도 2의 단계 S201~S215에 대한 설명으로 도 3의 단계 S301~S315를 충분히 이해할 수 있을 것이다. 따라서, 도 3의 단계 S301~S315에 대한 설명은 생략하기로 한다.
다만, 단계 S309와 단계 S311 사이에서, 이동형 GW(110)의 TA 에이전트(112)가 자신과 TA 매니저를 연결하기 위해 TA 보호기(130)를 거쳐 TA 매니저(140)로부터 전달된 연결 정보(IP, port 등)를 셋-업(set-up)하는 절차(단계 S309A)가 더 수행될 수 있다.
이동형 GW(110)의 TA 에이전트(112)는 이동형 GW(110)를 통해 통신을 시도하는 노드들(이동형 단말들 또는 이동형 장치들)의 인증 요청을 수신하고, 그들의 인증 정보를 TA 보호기(130)에게 전송하게 된다. 이때, 이동형 GW(110)는 TA 보호기(130)로 향하는 통신 채널에 대해 항상 개방되도록 관리하여야 한다.
한편, 도 2 및 3에서, TA 보호기(130)와 TA 매니저(140)는 안전한 연결 구성이 필요하다. 이것은 장치들(고정형 GW/서버, 이동형 GW 또는 이동형 단말)의 인증 요청이 TA 보호기(130)를 거치지 않고 TA 매니저로 직접 요청되는 것을 방지하기 위함이다. 즉, TA 매니저(140)는 항상 정해진 TA 보호기(130)를 통해 장치들(고정형 GW/서버, 이동형 GW 또는 이동형 단말)의 인증 요청을 위한 인증 정보를 수신하도록 관리되어야 한다.
데이터 채널 구축 절차
도 2 및 3과 같이, 고정형 GW 장치 또는 이동형 GW의 등록과정을 포함하는 제어 채널 구축 절차가 끝나면, 이동형 단말의 네트워크 서비스 연결요청 과정 및 데이터 채널 구축 절차가 시작될 수 있다.
이동형 단말은 자신이 이용할 수 있는 네트워크 환경이 없을 경우 이동형 GW 장치를 이용하여 네트워크 서비스를 이용할 수밖에 없다. 이러한 경우를 위해 이동형 단말과 이동형 GW간의 네트워크 설정이 필요하다. 이 과정은 본 명세서에서 특별히 언급하지는 않는다.
이동형 단말과 이동형 GW간의 네트워크 설정이 끝나면, 비로서 이동형 단말은 이동형 GW를 통해 인증 요청 과정을 시작으로 네트워크 서비스 연결요청 과정 및 데이터 채널 구축 절차를 진행할 수 있게 된다. 이 과정은 도 4와 같다.
도 4를 참조하면, 먼저, 단계 S401에서, 이동형 단말(110-1)에 내장된 제1 TA 에이전트(112)가 이동형 단말(110)의 인증 정보를 포함하는 인증 요청 메시지를 TA 보호기(130)로 전송하여 자신(110)의 인증을 요청한다.
이어, 단계 S403에서, TA 보호기(130)가 이동형 단말(110)로부터 수신한 인증 정보를 TA 매니저(140)로 포워딩 한다.
이어, 단계 S405에서, TA 매니저(140)가 TA 보호기(130)로부터 포워딩된 이동형 단말(110)의 인증 정보를 기반으로 이동형 단말(110)에 대한 인증 과정을 수행하고, 이동형 단말(110)의 인증이 성공하면, 이동형 단말(110)의 노드 정보(식별 정보, IP 정보)를 데이터베이스에 등록한다.
이어, 단계 S407에서, TA 매니저(140)가 이동형 단말(110)의 인증 성공을 나타내는 인증 결과 메시지와 채널 인증 토큰을 TA 보호기(130)로 전송한다.
이어, 단계 S409에서, TA 보호기(130)가 인증 성공을 나타내는 인증 결과 메시지에 응답하여 이동형 단말(110)과 TA 매니저(140) 간의 통신 연결을 위한 연결 정보(TA 매니저의 IP, Port 등)와 채널 인증 토큰을 이동형 단말(110-1)에 전송한다.
이어, 단계 411에서, 이동형 단말(110)에 내장된 제1 TA 에이전트(112)가 상기 연결 정보 및 상기 채널 인증 토큰을 이용하여 상기 TA 매니저(140)와의 제어 채널을 오픈한다.
이어, 단계 S413에서, 상기 제어 채널의 오픈과 동시에 또는 상기 제어 채널 오픈 이후에, 상기 TA 매니저(140)는 상기 오픈된 제어 채널과 관련된 제어 채널 정보, 예를 들면, 인증 후 등록된 이동형 단말(110)들 중에서 로그인된 이동형 단말들에 대한 노드 정보(식별 정보, IP 정보), 연결 주소 정보, 연결 상태 정보, 세션 식별 정보, 채널 인증 토큰, 로그인 정보 등을 데이터베이스(도시하지 않음)에 등록한다.
이어, 단계 S415에서, 이동형 단말(110)에 내장된 제1 TA 에이전트(112)가 오픈된 제어 채널을 통해 이동형 단말(110)의 가용성을 나타내는 Keep Alive 상태 메시지를 TA 매니저(140)에게 주기적으로 보고한다.
이어, 단계 S417에서, TA 매니저(140)가 이미 사전에 등록된 장치들의 ID에 해당하는 서비스 정보와 데이터 채널 구축 정보를 검색하여, 상기 이동형 단말(110)의 서비스 정보와 데이터 채널 구축 정보를 기반으로 상기 이동형 단말(110)이 접근 가능한 게이트웨이/서버(140)를 검색한다.
이어, 단계 S419에서, TA 매니저(140)가 상기 검색된 게이트웨이/서버(140)에게 해당 이동형 단말(110)과의 데이터 채널 설정을 위한 데이터 채널 구축 정보와 네트워크 연결 명령(또는 인터페이스 개방 명령)을 전송하고, 동시에 또는 이후에, 단계 S421에서, TA 매니저(140)는 데이터 채널 구축을 위한 데이터 채널 구축 정보를 이동형 단말(110)에게 전송한다.
TA 매니저(140)로부터 데이터 채널 구축 정보와 네트워크 연결 명령(또는 인터페이스 개방 명령)을 수신한 게이트웨이/서버(140)는 상기 이동형 단말(110)에 내장된 제1 TA 에이전트(112)로부터의 데이터 채널 연결에 대해 요청 메시지를 기다린다.
단계 S423에서, 이동형 단말(110)에 내장된 제1 TA 에이전트(112)가 데이터 채널 구축 정보를 기반으로 상대방 노드, 즉, GW/서버(140)에게 데이터 채널 연결을 요청(보안 연결, 터널링 등)하는 요청 메시지를 전송하고, 이러한 요청 메시지를 게이트웨이/서버(140)가 수락함으로써, 이동형 단말과 게이트웨이/서버(140)를 연결하는 데이터 채널이 구축된다.
한편, 보다 신뢰적 연결망 구성을 위해 도 4에서는 도시하지 않았으나, 이동형 단말(110)에 연결되는 이동형 GW를 포함하는 GW 장비들은 이동형 단말들 또는 다른 GW 장비들과의 모든 데이터 채널이 차단되어야 한다. 즉, TA 매니저의 데이터 채널 구축 정보가 GW에 의해 활성화되기 전에는 모든 데이터 채널은 닫혀진 상태로 관리되어야 함을 의미한다.
이상 설명한 바와 같이, 기존의 SDP 네트워크 기술은 이동형 환경에서 적용하기 위한 구체적인 절차 및 방법이 부재하고 모든 네트워크의 통제기능을 가지고 있는 Controller가 외부에 노출되어 있는 구조를 제안함으로써 DDoS공격을 방지하기 위한 인증 프로토콜에 대해 설계만으로 구조적인 안전성을 제공하기 어려울 수 있다.
또한, SDP가 제어채널 구축과정에서 Initiator와 Acceptor라는 비대칭 구조에 대해 상이한 절차를 가지는데 반해, 본 발명은 제어채널 구축과정이 그러한 구분 없이 동일하게 작동하도록 설계되었다는 점에서 복잡한 네트워크 환경을 더욱 단순하게 관리할 수 있도록 한다.
현재 모바일 서비스 추세에 비추어 볼 때 이동형 단말 및 이동형 게이트웨이 등의 활용성은 점점 더 커지고 있기 때문에 다양한 네트워크들이 추가되고 언제 어느 곳에서도 연결할 수 있는 초연결 사회의 네트워크 핵심기술로써 더욱 활용도가 높을 것으로 기대된다.
이상에서 본 발명에 대하여 실시 예를 중심으로 설명하였으나 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 발명의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 본 발명의 실시 예에 구체적으로 나타난 각 구성 요소는 변형하여 실시할 수 있는 것이다. 그리고 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구 범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (1)

  1. 다수의 네트워크 노드들이, DDoS 공격으로부터 TA(Trust Access) 매니저를 보호하는 TA 보호기에게 인증 정보를 전송하고, 상기 TA 보호기가 상기 인증 정보를 상기 TA 매니저에게 포워딩하는 단계;
    상기 TA 매니저가, 상기 인증 정보를 기반으로 상기 다수의 네트워크 노드들에 대한 인증 과정을 수행하고, 인증 성공 여부를 나타내는 인증 결과를 상기 TA 보호기에게 전송하는 단계;
    상기 TA 보호기가, 상기 인증 결과에 따라 다수의 네트워크 노드들 중에서 인증된 네트워크 노드들에게 상기 TA 매니저와 연결되기 위한 연결 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 연결 정보를 기반으로 상기 TA 매니저와 제어 채널을 오픈하는 단계; 및
    상기 TA 매니저가 상기 인증된 네트워크 노드들에게 상기 오픈된 제어 채널을 통해 데이터 채널 설정을 위한 데이터 채널 구축 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 데이터 채널 구축 정보를 기반으로 데이터 채널을 구축하는 단계
    를 포함하는 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법.
KR1020180097019A 2018-08-20 2018-08-20 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치 KR102132490B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180097019A KR102132490B1 (ko) 2018-08-20 2018-08-20 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180097019A KR102132490B1 (ko) 2018-08-20 2018-08-20 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20200021364A true KR20200021364A (ko) 2020-02-28
KR102132490B1 KR102132490B1 (ko) 2020-07-09

Family

ID=69638499

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180097019A KR102132490B1 (ko) 2018-08-20 2018-08-20 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102132490B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102460691B1 (ko) * 2021-11-15 2022-10-31 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180069610A (ko) * 2016-12-15 2018-06-25 주식회사 포스링크 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180069610A (ko) * 2016-12-15 2018-06-25 주식회사 포스링크 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"State of the Art and Recent Research Advances in Software Defined Networking" , Taimur Bakhshi, Wireless Communications and mobile Computing, pp.1-35 (2017.01.15.) 1부.* *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102460691B1 (ko) * 2021-11-15 2022-10-31 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023085793A1 (ko) * 2021-11-15 2023-05-19 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Also Published As

Publication number Publication date
KR102132490B1 (ko) 2020-07-09

Similar Documents

Publication Publication Date Title
US10009320B2 (en) Computerized system and method for deployment of management tunnels
JP5318111B2 (ja) リモートデバイスに構成情報を自動配布するための中央管理ステーションのための種々の方法および装置
JP4777729B2 (ja) 設定情報配布装置、方法、プログラム及び媒体
US9015855B2 (en) Secure tunneling platform system and method
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
US11792202B2 (en) TLS policy enforcement at a tunnel gateway
JP2018525935A (ja) インターネットに接続可能なデバイスを用いた安全な通信
US20070055752A1 (en) Dynamic network connection based on compliance
US20150150114A1 (en) Method and System for Providing Secure Remote External Client Access to Device or Service on a Remote Network
US9344417B2 (en) Authentication method and system
KR101992976B1 (ko) Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
JP2006086907A (ja) 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
KR20100041883A (ko) 패킷 데이터 네트워크에 응급 서비스 신뢰를 제공하기 위한 시스템 및 방법
US10536850B2 (en) Remote wireless adapter
US20230006988A1 (en) Method for selectively executing a container, and network arrangement
US7424736B2 (en) Method for establishing directed circuits between parties with limited mutual trust
KR102132490B1 (ko) 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치
KR101628534B1 (ko) 가상 802.1x 기반 네트워크 접근 제어 장치 및 네트워크 접근 제어 방법
JP4965499B2 (ja) 認証システム、認証装置、通信設定装置および認証方法
EP4320821A1 (en) Method and system for self-onboarding of iot devices
JP4619059B2 (ja) 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム
KR102059150B1 (ko) IPsec 가상 사설 네트워크 시스템
KR101992985B1 (ko) 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템
JPH10322328A (ja) 暗号通信システム及び暗号通信方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right