KR20210051208A - 종단 간 통신에 보안을 제공하기 위한 장치 및 방법 - Google Patents

종단 간 통신에 보안을 제공하기 위한 장치 및 방법 Download PDF

Info

Publication number
KR20210051208A
KR20210051208A KR1020190136179A KR20190136179A KR20210051208A KR 20210051208 A KR20210051208 A KR 20210051208A KR 1020190136179 A KR1020190136179 A KR 1020190136179A KR 20190136179 A KR20190136179 A KR 20190136179A KR 20210051208 A KR20210051208 A KR 20210051208A
Authority
KR
South Korea
Prior art keywords
address
master
end communication
communication device
policy
Prior art date
Application number
KR1020190136179A
Other languages
English (en)
Other versions
KR102683438B1 (ko
Inventor
박경원
김형주
강혜진
유한나
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020190136179A priority Critical patent/KR102683438B1/ko
Priority claimed from KR1020190136179A external-priority patent/KR102683438B1/ko
Publication of KR20210051208A publication Critical patent/KR20210051208A/ko
Application granted granted Critical
Publication of KR102683438B1 publication Critical patent/KR102683438B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

일 실시예에 따른 각 종단 통신 장치마다 통신 가능하게 연결되는 보안 장치와 통신하고 종단 통신 장치 간 통신의 보안 정책을 관리하는 정책 관리 장치로서, 상기 보안 장치로부터 종단 통신 장치의 연결 알림을 수신하면 종단 통신 장치의 서브 ID 및 마스터 ID를 발급하는 ID 발급부; 상기 마스터 ID와 IP 주소의 매핑 정보인 IP 주소 정보와, 통신이 허용된 종단 통신 장치들의 ID의 매핑 정보인 정책 정보와, 상기 서브 ID와 상기 마스터 ID의 관계 정보를 저장하는 저장부; 제 1 종단 통신 장치에 연결된 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치로부터 제 2 종단 통신 장치로 향하는 제 1 패킷의 목적지 IP 주소를 수신하면, 수신된 목적지 IP 주소에 대응하는 마스터 ID를 상기 저장부에서 조회하여 상기 제 1 보안 장치로 전송하는 IP 주소 관리부; 및 상기 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치의 서브 ID 및 마스터 ID와, 상기 목적지 IP 주소에 대응하는 마스터 ID를 포함하는 상기 제 1 패킷에 대한 정책 질의를 수신하고, 상기 정책 정보를 참조하여 상기 제 1 보안 장치로 승인 응답을 전송하는 정책 관리부;를 포함한다.

Description

종단 간 통신에 보안을 제공하기 위한 장치 및 방법{APPARATUS AND METHOD FOR PROVIDING SECURITY TO AN END-TO-END COMMUNICATION}
본 발명은 IoT(Internet of Things) 기술에 관한 것으로서, 보다 구체적으로 IoT 단말과 IoT 서비스 서버 등과 같은 종단 통신 장치 간의 통신에 보안을 제공하기 위한 장치 및 방법에 관한 것이다.
인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 네트워크에서, 사물 등 분산된 구성 요소들 간에 정보를 주고받아 처리하는 IoT(Internet of Things, 사물인터넷) 네트워크로 진화하고 있다. IoT(Internet of Things)란, 통신 가능한 모든 사물들을 네트워크에 연결하여 상호 통신 수행이 가능한 개념을 의미한다. 시스템적으로 인지할 수 있는 모든 객체인 Things는 근거리 및 원거리 통신 기능을 탑재하고, 센서 등을 통해 데이터를 생산할 수 있다. IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술 및 보안 기술과 같은 기술 요소들이 요구된다. 최근에는 사물 간의 연결을 위한 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 연구되고 있다. 이러한 IoT 서비스는 퍼블릭 네트워크(Public Network) 환경에서 제공된다. 즉 누구나 언제든지 IoT 네트워크에 접속할 수 있다. 이와 같이 IoT 서비스는 퍼블릭 네트워크 환경에서 제공되기 때문에 IoT 디바이스(IoT 단말이나 IoT 서비스 서버)는 퍼블릭 네트워크에 노출되어 보안이 취약할 수 있다.
본 발명은 상술한 문제점을 해결하기 위해 제안된 것으로, IoT 단말과 IoT 서비스 서버 등과 같은 종단 통신 장치 간의 통신에서 식별자(ID : Identifier) 기반의 정책을 기초로 보안을 제공하기 위한 장치 및 방법을 제공하는 데 목적이 있다.
일 실시예에 따른 각 종단 통신 장치마다 통신 가능하게 연결되는 보안 장치와 통신하고 종단 통신 장치 간 통신의 보안 정책을 관리하는 정책 관리 장치로서, 상기 보안 장치로부터 종단 통신 장치의 연결 알림을 수신하면 종단 통신 장치의 서브 ID 및 마스터 ID를 발급하는 ID 발급부; 상기 마스터 ID와 IP 주소의 매핑 정보인 IP 주소 정보와, 통신이 허용된 종단 통신 장치들의 ID의 매핑 정보인 정책 정보와, 상기 서브 ID와 상기 마스터 ID의 관계 정보를 저장하는 저장부; 제 1 종단 통신 장치에 연결된 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치로부터 제 2 종단 통신 장치로 향하는 제 1 패킷의 목적지 IP 주소를 수신하면, 수신된 목적지 IP 주소에 대응하는 마스터 ID를 상기 저장부에서 조회하여 상기 제 1 보안 장치로 전송하는 IP 주소 관리부; 및 상기 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치의 서브 ID 및 마스터 ID와, 상기 목적지 IP 주소에 대응하는 마스터 ID를 포함하는 상기 제 1 패킷에 대한 정책 질의를 수신하고, 상기 정책 정보를 참조하여 상기 제 1 보안 장치로 승인 응답을 전송하는 정책 관리부;를 포함한다.
상기 연결 알림은, 종단 통신 장치의 MAC 주소 및 IP 주소를 포함하고, 상기 ID 발급부는, 상기 MAC 주소를 기준으로 상기 서브 ID를 발급하고, 상기 연결 알림에 포함된 IP 주소를 기준으로 상기 마스터 ID를 발급할 수 있다.
상기 ID 발급부는, 동일한 공인 IP 주소에 속하면서 각기 다른 사설 IP 주소를 할당받는 종단 통신 장치들은 동일한 마스터 ID를 발급하고 서로 다른 서브 ID를 발급할 수 있다.
상기 정책 정보는, 서로 통신이 허용된 각 종단 통신 장치의 서브 ID 및 마스터 ID마다 타 종단 통신 장치의 마스터 ID의 매핑 정보이다.
상기 ID 발급부는, 상기 연결 알림의 UDP 패킷 및 TCP 패킷을 분석하여 종단 통신 장치의 네트워크 환경을 분석하고, 분석된 네트워크 환경 정보를 보안 장치로 전송할 수 있다.
상기 ID 발급부는, 상기 UDP 패킷과 상기 TCP 패킷의 출발지 IP 주소가 동일하면 네트워크 환경을 Type 1로 판단하고, 상기 UDP 패킷과 상기 TCP 패킷의 출발지 IP 주소가 다르면서 상기 UDP 패킷의 출발지 주소와 데이터 필드에 포함된 IP 주소가 동일하면 Type 2로 판단하며, 그 외에는 Type 3으로 판단할 수 있다.
상기 IP 주소 관리부는, 상기 Type 1 및 상기 Type 3의 경우, 보안 장치로부터 수신되는 IP 주소 업데이트 요청 패킷의 출발지 IP 주소 및 데이터 필드에 기록된 서브 ID를 이용하여 상기 IP 주소 정보를 업데이트할 수 있다.
상기 IP 주소 관리부는, 상기 데이터 필드에 기록된 서브 ID에 대응하는 마스터 ID를 상기 관계 정보에서 확인한 후, 그 확인된 마스터 ID에 대응하는 IP 주소를 상기 IP 주소 정보에서 확인하고, 그 확인된 IP 주소를 상기 IP 주소 업데이트 요청 패킷의 출발지 IP 주소로 변경할 수 있다.
상기 IP 주소 관리부는, 상기 Type 2의 경우, 보안 장치로부터 수신되는 IP 주소 업데이트 요청 패킷의 데이터 필드에 기록된 서브 ID 및 IP 주소를 이용하여 상기 IP 주소 정보를 업데이트할 수 있다.
상기 IP 주소 관리부는, 상기 데이터 필드에 기록된 서브 ID에 대응하는 마스터 ID를 상기 관계 정보에서 확인한 후, 그 확인된 마스터 ID에 대응하는 IP 주소를 상기 IP 주소 정보에서 확인하고, 그 확인된 IP 주소를 상기 데이터 필드에 기록된 IP 주소로 변경할 수 있다.
상기 IP 주소 관리부는, 상기 제 1 보안 장치로부터, 상기 제 2 종단 통신 장치로부터 상기 제 1 종단 통신 장치로 향하는 제 2 패킷의 출발지 IP 주소를 수신하면, 수신된 출발지 IP 주소에 대응하는 마스터 ID를 상기 저장부에서 조회하여 상기 제 1 보안 장치로 전송하고, 상기 정책 관리부는, 상기 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치의 서브 ID 및 마스터 ID와, 상기 출발지 IP 주소에 대응하는 마스터 ID를 포함하는 상기 제 2 패킷에 대한 정책 질의를 수신하고, 상기 정책 정보를 참조하여 상기 제 1 보안 장치로 승인 응답을 전송할 수 있다.
일 실시예에 따른 각 종단 통신 장치마다 통신 가능하게 연결되는 보안 장치와 통신하고 종단 통신 장치 간 통신의 보안 정책을 관리하는 정책 관리 장치에서 종단 간 통신의 보안을 제공하는 방법은, 상기 보안 장치로부터 종단 통신 장치의 연결 알림을 수신하면 종단 통신 장치의 서브 ID 및 마스터 ID를 발급하는 단계; 상기 마스터 ID와 IP 주소의 매핑 정보인 IP 주소 정보와, 통신이 허용된 종단 통신 장치들의 ID의 매핑 정보인 정책 정보와, 상기 서브 ID와 상기 마스터 ID의 관계 정보를 저장부에 저장하는 단계; 제 1 종단 통신 장치에 연결된 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치로부터 제 2 종단 통신 장치로 향하는 제 1 패킷의 목적지 IP 주소를 수신하고, 수신된 목적지 IP 주소에 대응하는 마스터 ID를 상기 저장부에서 조회하여 상기 제 1 보안 장치로 전송하는 단계; 및 상기 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치의 서브 ID 및 마스터 ID와, 상기 목적지 IP 주소에 대응하는 마스터 ID를 포함하는 상기 제 1 패킷에 대한 정책 질의를 수신하고, 상기 정책 정보를 참조하여 상기 제 1 보안 장치로 승인 응답을 전송하는 단계를 포함한다.
상기 연결 알림은, 종단 통신 장치의 MAC 주소 및 IP 주소를 포함하고, 상기 발급하는 단계는, 상기 MAC 주소를 기준으로 상기 서브 ID를 발급하고, 상기 연결 알림에 포함된 IP 주소를 기준으로 상기 마스터 ID를 발급할 수 있다.
상기 발급하는 단계는, 동일한 공인 IP 주소에 속하면서 각기 다른 사설 IP 주소를 할당받는 종단 통신 장치들은 동일한 마스터 ID를 발급하고 서로 다른 서브 ID를 발급할 수 있다.
상기 정책 정보는, 서로 통신이 허용된 각 종단 통신 장치의 서브 ID 및 마스터 ID마다 타 종단 통신 장치의 마스터 ID의 매핑 정보일 수 있다.
상기 방법은, 상기 연결 알림의 UDP(User Datagram Protocol) 패킷 및 TCP(Transmission Control Protocol) 패킷을 분석하여 종단 통신 장치의 네트워크 환경을 분석하고, 분석된 네트워크 환경 정보를 보안 장치로 전송하는 단계를 더 포함할 수 있다.
상기 네트워크 환경의 분석은, 상기 UDP 패킷과 상기 TCP 패킷의 출발지 IP 주소가 동일하면 네트워크 환경을 Type 1로 판단하고, 상기 UDP 패킷과 상기 TCP 패킷의 출발지 IP 주소가 다르면서 상기 UDP 패킷의 출발지 주소와 데이터 필드에 포함된 IP 주소가 동일하면 Type 2로 판단하며, 그 외에는 Type 3으로 판단할 수 있다.
상기 방법은, 상기 Type 1 및 상기 Type 3의 경우, 보안 장치로부터 수신되는 IP 주소 업데이트 요청 패킷의 출발지 IP 주소 및 데이터 필드에 기록된 서브 ID를 이용하여 상기 IP 주소 정보를 업데이트하는 단계를 더 포함할 수 있다.
상기 업데이트하는 단계는, 상기 데이터 필드에 기록된 서브 ID에 대응하는 마스터 ID를 상기 관계 정보에서 확인한 후, 그 확인된 마스터 ID에 대응하는 IP 주소를 상기 IP 주소 정보에서 확인하고, 그 확인된 IP 주소를 상기 IP 주소 업데이트 요청 패킷의 출발지 IP 주소로 변경할 수 있다.
상기 방법은, 상기 Type 2의 경우, 보안 장치로부터 수신되는 IP 주소 업데이트 요청 패킷의 데이터 필드에 기록된 서브 ID 및 IP 주소를 이용하여 상기 IP 주소 정보를 업데이트하는 단계를 더 포함할 수 있다.
상기 업데이트하는 단계는, 상기 데이터 필드에 기록된 서브 ID에 대응하는 마스터 ID를 상기 관계 정보에서 확인한 후, 그 확인된 마스터 ID에 대응하는 IP 주소를 상기 IP 주소 정보에서 확인하고, 그 확인된 IP 주소를 상기 데이터 필드에 기록된 IP 주소로 변경할 수 있다.
상기 방법은, 상기 제 1 보안 장치로부터, 상기 제 2 종단 통신 장치로부터 상기 제 1 종단 통신 장치로 향하는 제 2 패킷의 출발지 IP 주소를 수신하고, 수신된 출발지 IP 주소에 대응하는 마스터 ID를 상기 저장부에서 조회하여 상기 제 1 보안 장치로 전송하는 단계; 및 상기 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치의 서브 ID 및 마스터 ID와, 상기 출발지 IP 주소에 대응하는 마스터 ID를 포함하는 상기 제 2 패킷에 대한 정책 질의를 수신하고, 상기 정책 정보를 참조하여 상기 제 1 보안 장치로 승인 응답을 전송하는 단계를 더 포함할 수 있다.
일 실시예에서, 네트워크 구조에 따라 변동성이 높은 IP 주소 기반의 정책을 탈피하여 식별자(ID : Identifier) 기반 정책을 이용함으로써 퍼블릭 네트워크를 통한 IoT 서비스의 보안을 높인다.
일 실시예에서, 종단 통신 장치에 연결되는 보안 모듈에서 송수신되는 패킷에 토큰을 삽입하고 또는 삽입된 토큰을 검증함으로써 종단 통신 장치로 악성 패킷이 수신되는 것을 차단하여 종단 통신 장치에 대한 해킹을 차단할 수 있다.
일 실시예에서, 종단 통신 장치에 보안 모듈을 통신 가능하게 연결하면 종단 통신 장치에 식별자(ID : Identifier)를 할당하고 식별자 기반 정책을 자동으로 설정함으로써 레거시 시스템의 변화 없이 모든 IoT 서비스에 보안을 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따른 종단(End-to-End) 간 통신 시스템을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 정책 관리 장치에서 관리하는 정보를 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 제 1 보안 모듈 및 정책 관리 장치의 블럭도이다.
도 4는 본 발명의 일 실시예에 따른 제 2 보안 모듈 및 정책 관리 장치의 블럭도이다.
도 5는 본 발명의 일 실시예에 따른 정책 관리 장치에서 종단 통신 장치의 ID를 발급하는 방법을 설명하는 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 네트워크 환경에 따른 보안 모듈 및 종단 통신 장치의 IP 주소의 구성을 나타낸 도면이다.
도 7은 본 발명의 일 실시예에 따른 정책 관리 장치에서 종단 통신 장치의 네트워크 환경을 자동으로 식별하는 방법을 설명하는 흐름도이다.
도 8은 본 발명의 일 실시예에 따른 IP 주소 정보를 업데이트하는 방법을 설명하는 흐름도이다.
도 9는 본 발명의 다른 실시예에 따른 IP 주소 정보를 업데이트하는 방법을 설명하는 흐름도이다.
도 10은 본 발명의 또 다른 실시예에 따른 IP 주소 정보를 업데이트하는 방법을 설명하는 흐름도이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 종단(End-to-End) 간 통신 시스템을 나타낸 도면이다. 도 1을 참조하면, 본 실시예에 따른 종단 간 통신 시스템은, 종단 통신 장치들(110, 150, 170), 보안 모듈들(120, 140, 160) 및 정책 관리 장치(180)를 포함하고 이들은 통신망(190)을 통해 연결된다. 본 실시예에서 보안 모듈들(120, 140, 160) 중에서 보안 모듈들(140, 160)은 무선랜 서비스를 제공하는 액세스 포인트(AP)(130)에 연결된다.
종단 통신 장치들(110, 150, 170)은 통신 경로 상의 끝에 존재하는 통신 장치로서, 예를 들어, 가스 센서, 화재 감지 센서, 카메라, 인공지능 스피커 등의 IoT 단말이나, 이러한 IoT 단말과 통신하여 IoT 서비스를 제공하는 IoT 서비스 서버를 포함한다. IoT 단말은 메모리와 프로세서 및 통신 회로 등을 포함하여 IoT 서비스 서버와 통신할 수 있고, 또는 다른 IoT 단말과 P2P 통신을 할 수 있다. IoT 서비스 서버는 IoT 단말과 연결되어 IoT 단말로부터 주기적으로 상태 정보를 수신하고 또한 IoT 단말의 펌웨어를 업데이트하며 IoT 단말로 콘텐츠 스트리밍 등의 서비스를 제공할 수 있다.
보안 모듈들(120, 140, 160)은 종단 통신 장치들(110, 150, 170)에 통신 가능하게 연결되어 종단 통신 장치(110, 150, 170)를 통신망(190)을 통한 외부 공격으로부터 보호한다. 보안 모듈들(120, 140, 160)은 통신 계층상 종단 통신 장치들(110, 150, 170)의 상위 계층에 위치한다. 보안 모듈들(120, 140, 160)은 물리적인 어댑터 형태로 제작되어 종단 통신 장치들(110, 150, 170)에 물리적으로 연결될 수 있다. 이 경우, 보안 모듈들(120, 140, 160)은 메모리 및 프로세서 그리고 통신 회로를 포함할 수 있다. 또는 보안 모듈들(120, 140, 160)은 소프트웨어로 제작되어 종단 통신 장치들(110, 150, 170)의 메모리에 저장되어 실행될 수 있다.
도 1에 도시된 바와 같이, 본 실시예에서 제 1 종단 통신 장치(110)와 제 1 보안 모듈(120)은 각각 공인 IP 주소가 할당된다. 액세스 포인트(130)에는 공인 IP 주소가 할당되고, 액세스 포인트(130)에 연결된 제 2 종단 통신 장치(150)와 제 3 종단 통신 장치(150)는 서로 다른 사설 IP 주소가 할당된다. 보안 모듈들(120, 140, 16)은 각각 다른 보안 모듈과 구별될 수 있는 식별자(ID : Identifier, 이하에서 ID라 함)가 할당되고, 종단 통신 장치들(110, 150, 170)은 각각 서브 ID와 마스터 ID가 할당된다. 이때, 서브 ID는 각 종단 통신 장치들(110, 150, 170)을 서로 구별할 수 있는 식별자이고, 마스터 ID는 동일한 공인 IP 주소를 갖는 종단 통신 장치들의 그룹을 식별할 수 있는 식별자이다. 예를 들어, 도 1에서, 제 1 종단 통신 장치(110)는 단독으로 공인 IP 주소를 갖기 때문에 MasterID1이 할당되고, 제 2, 3 종단 통신 장치(150, 170)는 외부에서 볼 때 동일한 공인 IP 주소를 갖게 되므로 동일한 마스터 ID, 즉 MasterID2가 할당된다.
보안 모듈들(120, 140, 160)은, 종단 통신 장치들(110, 150, 170)로부터 수신된 패킷을 외부로 전송할 때, 정책 관리 장치(180)로 정책을 질의하고, 정책 조회 결과에 따라 패킷의 외부로의 전송 여부를 결정한다. 또한, 보안 모듈들(120, 140, 160)은, 외부로부터 종단 통신 장치들(110, 150, 170)로 향하는 패킷이 수신될 때, 마찬가지로 정책 관리 장치(180)로 정책을 질의하고, 정책 조회 결과에 따라 패킷의 내부로의 전송 여부를 결정한다. 이때, 정책은, ID 기반의 종단 통신 연결 정책으로서, 각 종단 통신 장치들마다 생성되고, 상호 통신이 허용된 종단 통신 장치들 간의 ID 매핑 정보이다. 예를 들어, 제 1, 2 종단 통신 장치(110, 150) 간에 통신이 허용된 경우, 제 1 종단 통신 장치(110)의 정책과 제 2 종단 통신 장치(150)의 정책이 각각 생성된다. 제 1 종단 통신 장치(110)의 정책은, 제 1 종단 통신 장치(110)의 서브 ID/마스터 ID와 제 2 종단 통신 장치(150)의 마스터 ID가 매핑되고, 제 2 종단 통신 장치(150)의 정책은, 제 2 종단 통신 장치(150)의 서브 ID/마스터 ID와 제 1 종단 통신 장치(110)의 마스터 ID가 매핑된다.
보안 모듈(120, 140, 160)은, 종단 통신 장치(110, 150, 170)로부터 수신된 패킷을 외부로 전송할 때, 정책 관리 장치(180)로 토큰 시드를 요청하고 정책 관리 장치(180)로부터 수신된 토큰 시드를 이용하여 생성한 토큰을 패킷에 삽입하여 전송한다. 또한, 보안 모듈들(120, 140, 160)은, 외부로부터 종단 통신 장치들(110, 150, 170)로 향하는 패킷이 수신될 때, 정책 관리 장치(180)로 패킷을 전송한 측에서 사용한 토큰 시드를 요청하고, 정책 관리 장치(180)로부터 수신된 토큰 시드를 이용하여 패킷에 포함된 토큰을 검증한다. 보안 모듈들(120, 140, 160)은, 토큰 검증에 성공시에 외부로부터 수신된 패킷에서 토큰을 제거하여 내부의 종단 통신 장치(110, 150, 170)로 전달한다.
정책 관리 장치(180)는, 종단 통신 장치들(110, 150, 170)의 정보, ID 기반의 종단 통신 연결 정책, IP 주소 정보, 서브 ID 및 마스터 ID의 관계 정보를 저장한다. 도 2는 본 발명의 일 실시예에 따른 정책 관리 장치에서 관리하는 정보를 나타낸 도면으로, 도 1의 실시예에 따른 정보이다. 도 2에 도시된 바와 같이, 종단 통신 장치들(110, 150, 170)의 정보는, 종단 통신 장치의 MAC 주소, 서브 ID, 그리고 네트워크 유형 정보(Type 1, Type 2 등)를 포함한다. 종단 통신 연결 정책은, 상호 통신이 허용된 종단 통신 장치들(110, 150, 170)의 ID 매핑 정보로서, 본 실시예에서 제 1 종단 통신 장치(110)와 제 2 종단 통신 장치(150)가 상호 통신이 허용되고, 각 종단 통신 장치의 서브 ID/마스터 ID별로 타 종단 통신 장치의 마스터 ID가 매핑된다. IP 주소 정보는, 마스터 ID를 기준으로 한 IP 주소 정보이다. 서브 ID 및 마스터 ID의 관계 정보는, 각 종단 통신 장치들(110, 150, 170)에 할당되는 서브 ID와 마스터 ID로 구성된다.
상기 종단 통신 연결 정책은, 종단 통신 장치(110, 150, 170)가 패킷을 외부로 전송하고, 또는 외부로부터 패킷을 수신할 때, 패킷 전송 또는 패킷 수신의 허용 여부를 확인하는데 사용된다. 상기 IP 주소 정보는, 종단 통신 장치(110, 150, 170)가, 패킷을 외부로 전송하고, 또는 외부로부터 패킷을 수신할 때, 정책을 질의하기 전에, 외부로 전송하는 패킷의 목적지 IP 주소에 대응하는 마스터 ID를 확인하거나, 또는 외부로부터 수신하는 패킷의 출발지 IP 주소에 대응하는 마스터 ID를 확인하는데 사용된다. 상기 종단 통신 장치들(110, 150, 170)의 정보와, 서브 ID 및 마스터 ID의 관계 정보는, 종단 통신 장치의 ID를 할당하고, 또한 상기 IP 주소 정보를 업데이트하는데 사용된다. 이에 관해서는 이하에서 도면을 참조하여 자세히 설명한다.
도 3은 도 1의 제 1 보안 모듈(120) 및 정책 관리 장치(180)의 블럭도이다. 도 3의 실시예는 제 1 보안 모듈(120)이 제 1 종단 통신 장치(110)로부터 제 2 종단 통신 장치(150)로 향하는 패킷을 수신할 때의 블록도이다. 도 3을 참조하면, 제1 보안 모듈(120)은 수신부(310), ID 확인부(320), 저장부(330), 정책 조회부(340) 및 전송부(350)를 포함하고, 정책 관리 장치(180)는 ID 발급부(360), IP 주소 관리부(370), 정책 관리부(380) 및 저장부(390)를 포함한다. 이들은 소프트웨어로 구현되어 메모리에 저장되어 프로세서에 의해 실행될 수 있다. 도 3을 참조한 실시예에서는 패킷의 흐름 순서대로 각 구성요소의 동작을 설명한다.
단계 S301에서, 수신부(310)는, 제 1 종단 통신 장치(110)로부터 제 2 종단 통신 장치(150)로 향하는 패킷을 수신한다. 이 패킷에는 출발지(Src) IP 주소로서 제 1 종단 통신 장치(110)의 공인 IP 주소인 1.1.1.1이 설정되고, 목적지(Dst) IP 주소로서 외부에서 보이는 제 2 종단 통신 장치(150)의 공인 IP 주소인 2.2.2.2가 설정되며, 제 1 종단 통신 장치(110)의 MAC 주소가 포함된다.
단계 S302에서, ID 확인부(320)는, 상기 수신부(310)에서 수신한 패킷에 포함된 목적지 IP 주소에 대응하는 마스터 ID를 확인하기 위해, 해당 목적지 IP 주소를 정책 관리 장치(180)로 전송하여 마스터 ID를 요청한다. 단계 S303에서, 정책 관리 장치(180)의 IP 주소 관리부(370)는, 저장부(390)에서 상기 목적지 IP 주소에 대응하는 마스터 ID를 조회하고 조회된 마스터 ID를 제 1 보안 모듈(120)의 상기 ID 확인부(320)로 응답한다. 정책 관리 장치(180)의 저장부(390)에는 도 2에 도시된 바와 같은 정보들이 저장되어 있으므로 상기 IP 주소 관리부(370)는 상기 목적지 IP 주소에 대응하는 마스터 ID를 조회할 수 있다.
단계 S304에서, ID 확인부(320)는, 저장부(330)에서 제 1 종단 통신 장치(110)의 서브 ID 및 마스터 ID를 확인한다. 저장부(330)에는 ID 및 IP 주소의 매핑 정보 또는 ID 및 MAC 주소의 매핑 정보를 저장하고, ID 확인부(320)는 제 1 종단 통신 장치(110)의 IP 주소 또는 MAC 주소를 이용하여 저장부(330)에서 해당 제 1 종단 통신 장치(110)의 서브 ID 및 마스터 ID를 확인한다. 본 실시예에서, 제 1 종단 통신 장치(110)의 서브 ID는 DevID1이고, 마스터 ID는 MasterID1이다.
단계 S305에서, 정책 조회부(340)는, 패킷을 목적지 IP 주소로 전송해도 되는지를 확인하기 위해, 정책 관리 장치(180)로 정책을 질의한다. 정책 조회부(340)는, 상기 ID 확인부(320)에서 확인한 제 1 종단 통신 장치(110)의 서브 ID/마스터 ID(DevID1, MasterID1) 그리고 제 2 종단 통신 장치(150)의 마스터 ID(MasterID2)를 정책 관리 장치(180)로 전송하여 정책을 질의한다.
단계 S306에서, 정책 관리 장치(180)의 정책 관리부(380)는 상기 정책 조회부(340)의 정책 질의에 따라 상기 ID들을 이용하여 저장부(390)에서 정책을 확인한다. 저장부(390)에는 도 2에 도시된 정책 정보를 저장한다. 저장부(390)에는 {DevID1, MasterID1, MasterID2}의 정책 정보를 저장하고 있으므로, 정책 관리부(380)는, 단계 S307에서, 제 1 보안 모듈(120)의 정책 조회부(340)로 승인(Allow) 응답을 전송한다. 이때, 정책 관리부(380)는, 승인 응답에 토큰 시드를 포함하여 전송한다.
제 1 보안 모듈(120)의 정책 조회부(340)는, 정책 관리 장치(180)로부터 수신된 승인 응답에 포함된 토큰 시드를 이용하여 토큰을 생성한다. 보다 구체적으로, 정책 조회부(340)는, 토큰의 재사용 방지를 위한 랜덤 값인 넌스(Nonce)와 타임스탬프(Timestamp)를 생성한 후, 다음과 같이 토큰을 생성한다.
토큰(Token) = sign(hmac(seed xor Nonce, Payload)∥Nonce∥Timestamp∥ID)
여기서 hmac(seed xor Nonce, Payload)는 패킷의 페이로드를 해시한 값을 토큰 시드(seed)와 Nonce를 xor한 값으로 암호화한 것을 의미하며, '∥'는 평문으로 이어붙이기를 의미한다. 그리고 ID는 제 1 종단 통신 장치(110)의 서브 ID이고, sign은 제 1 보안 모듈(120)의 개인키로 서명하는 것을 의미한다.
전송부(350)는, 상기 정책 조회부(340)에서 생성된 토큰을 패킷에 삽입하여 통신망(190)을 통해 제 2 종단 통신 장치(150) 측으로 전송한다.
한편, 도 3을 참조한 실시예에서, 제 2 종단 통신 장치(150)로부터 제 1 종단 통신 장치(110)로 패킷이 전송될 경우, 제 1 보안 모듈(120)의 ID 확인부(320)는, 출발지 IP 주소를 이용하여 정책 관리 장치(180)로부터 대응하는 마스터 ID, 즉 제 2 종단 통신 장치(150)의 마스터 ID를 확인하고, 저장부(330)로부터 목적지 IP 주소에 대응하는 서브 ID 및 마스터 ID, 즉 제 1 종단 통신 장치(110)의 서브 ID 및 마스터 ID를 확인한다. 그리고 정책 조회부(340)는 이 ID들을 이용하여 정책 관리 장치(180)에서 정책을 조회하여 승인 응답을 수신하고, 전송부(350)는 패킷을 제 1 종단 통신 장치(110) 측으로 전송한다. 토큰 검증은 앞서 설명한 바와 같이 동일하게 수행한다.
한편, 도 3의 정책 관리 장치(180)의 ID 발급부(360)는, 상술한 패킷의 흐름과는 상관이 없다. ID 발급부(360)는, 제 1 보안 모듈(120)에 처음 제 1 종단 통신 장치(110)가 연결되면, 제 1 보안 모듈(120)로부터 제 1 종단 통신 장치(110)의 연결 알림을 수신하고, 서브 ID 및 마스터 ID를 발급하며, IP 주소 정보에 마스터 ID와 IP 주소를 기록하고, 서브 ID 및 마스터 ID의 관계 정보에 서브 ID와 마스터 ID를 기록한다. 이에 관해서는 이하에서 도면을 참조하여 자세히 설명한다.
도 4는 도 1의 제 2 보안 모듈(140) 및 정책 관리 장치(180)의 블럭도이다. 도 4의 실시예는 제 1 보안 모듈(120)에서 제 2 종단 통신 장치(150)로 전송한 패킷을 제 2 보안 모듈(140)이 액세스 포인트(130)로부터 수신할 때의 블록도이다. 도 4를 참조하면, 제 2 보안 모듈(140)은 수신부(410), ID 확인부(420), 저장부(430), 정책 조회부(440) 및 전송부(450)를 포함한다. 정책 관리 장치(180)는, 도 3을 참조하여 설명한 구성요소를 동일하게 포함한다. 이들은 소프트웨어로 구현되어 메모리에 저장되어 프로세서에 의해 실행될 수 있다. 도 4를 참조한 실시예에서는 패킷의 흐름 순서대로 각 구성요소의 동작을 설명한다.
단계 S401에서, 수신부(410)는, 액세스 포인트(130)로부터 제 2 종단 통신 장치(150)로 향하는 패킷을 수신한다. 이 패킷에는 출발지(Src) IP 주소로서 제 1 종단 통신 장치(110)의 공인 IP 주소인 1.1.1.1이 설정되고, 목적지(Dst) IP 주소로서 사설 IP 주소인 192.168.0.3이 설정된다. 공인 IP 주소 2.2.2.2인 목적지 IP 주소는 액세스 포인트(130)의 NAT(Network Address Translation)에 의해 사설 IP 주소 192.168.0.3로 변환된다.
단계 S402에서, ID 확인부(420)는, 상기 수신부(410)에서 수신한 패킷에 포함된 출발지 IP 주소에 대응하는 마스터 ID를 확인하기 위해, 해당 출발지 IP 주소를 정책 관리 장치(180)로 전송하여 마스터 ID를 요청한다. 단계 S403에서, 정책 관리 장치(180)의 IP 주소 관리부(370)는, 저장부(390)에서 상기 출발지 IP 주소에 대응하는 마스터 ID를 조회하고 조회된 마스터 ID를 제 2 보안 모듈(140)의 상기 ID 확인부(420)로 응답한다. 정책 관리 장치(180)의 저장부(390)에는 도 2에 도시된 바와 같은 정보들이 저장되어 있으므로, 상기 IP 주소 관리부(370)는 상기 출발지 IP 주소에 대응하는 마스터 ID를 조회할 수 있다.
단계 S404에서, ID 확인부(420)는, 저장부(430)에서 제 2 종단 통신 장치(150)의 서브 ID 및 마스터 ID를 확인한다. 저장부(430)에는 ID 및 IP 주소의 매핑 정보 또는 ID 및 MAC 주소의 매핑 정보를 저장하고, ID 확인부(420)는 제 2 종단 통신 장치(150)의 IP 주소 또는 MAC 주소를 이용하여 저장부(430)에서 제 2 종단 통신 장치(150)의 서브 ID 및 마스터 ID를 확인한다. 본 실시예에서, 제 2 종단 통신 장치(150)의 서브 ID는 DevID2이고, 마스터 ID는 MasterID2이다.
단계 S405에서, 정책 조회부(440)는, 패킷을 목적지 IP 주소, 즉 제 2 종단 통신 장치(150)로 전송해도 되는지를 확인하기 위해, 정책 관리 장치(180)로 정책을 질의한다. 정책 조회부(440)는, 상기 ID 확인부(420)에서 확인한 제 2 종단 통신 장치(150)의 서브 ID/마스터 ID(DevID2, MasterID2) 그리고 제 1 종단 통신 장치(110)의 마스터 ID(MasterID1)를 정책 관리 장치(180)로 전송하여 정책을 질의한다.
단계 S406에서, 정책 관리 장치(180)의 정책 관리부(380)는 상기 정책 조회부(440)의 정책 질의에 따라 상기 ID들을 이용하여 저장부(390)에서 정책을 확인한다. 저장부(390)에는 도 2에 도시된 정책 정보를 저장한다. 저장부(390)에는 {DevID2, MasterID2, MasterID1}의 정책 정보를 저장하고 있으므로, 정책 관리부(380)는, 단계 S407에서, 제 2 보안 모듈(140)의 정책 조회부(440)로 승인(Allow) 응답을 전송한다.
바람직하게, 제 2 보안 모듈(140)의 정책 조회부(440)는, 상기 수신된 패킷에 삽입되어 있는 토큰에서 평문으로 삽입되어 있는 제 1 종단 통신 장치(110)의 서브 ID(즉, DevID1)를 추출하고, 그 서브 ID, 그리고 상기 ID 확인부(420)에서 확인한 제 1 종단 통신 장치(110)의 마스터 ID(즉, MasterID1) 및 제 2 종단 통신 장치(140)의 마스터 ID(즉, MasterID2)를 함께 정책 관리 장치(180)로 전송하여 송신측에서 사용한 토큰 시드를 요청하여 수신한다. 정책 조회부(440)는, 동시에 정책 관리 장치(180)로부터 제 1 보안 모듈(120)의 공개키를 함께 수신한다. 정책 조회부(440)는, 패킷에 삽입되어 있는 토큰에 평문으로 삽입되어 있는 넌스(Nonce), 타임스탬프(Timestamp) 그리고 제 1 종단 통신 장치(110)의 서브 ID와, 상기 수신된 토큰 시드를 이용하여 토큰을 생성하여 상기 패킷에 삽입되어 있는 토큰과 동일하는지 확인한다. 또한 정책 조회부(440)는 상기 수신된 제 1 보안 모듈(120)의 공개키로 토큰의 서명을 검증할 수 있다. 토큰 검증 실패시에 패킷을 폐기한다.
전송부(450)는 토큰 검증에 성공한 상기 패킷에서 토큰을 제거하여 제 2 종단 통신 장치(150)로 전송한다.
한편, 도 4를 참조한 실시예에서, 제 2 종단 통신 장치(150)로부터 제 1 종단 통신 장치(110)로 패킷이 전송될 경우, 제 2 보안 모듈(140)의 ID 확인부(420)는, 목적지 IP 주소를 이용하여 정책 관리 장치(180)로부터 대응하는 마스터 ID, 즉 제 1 종단 통신 장치(110)의 마스터 ID를 확인하고, 저장부(430)로부터 출발지 IP 주소에 대응하는 서브 ID 및 마스터 ID, 즉 제 2 종단 통신 장치(150)의 서브 ID 및 마스터 ID를 확인한다. 정책 조회부(440)는 이 ID들을 이용하여 정책 관리 장치(180)에서 정책을 조회하여 승인 응답을 수신하고, 전송부(450)는 패킷을 제 1 종단 통신 장치(110) 측으로 전송한다. 토큰 검증은 마찬가지로 수행된다.
이상의 도 3 및 도 4에서 제 1, 2 보안 모듈(120, 140)을 구분하여 설명하였으나 도 3 및 도 4에서 설명한 기능들은 하나의 보안 모듈에 모두 포함되는 것으로 이해하여야 한다.
도 5는 본 발명의 일 실시예에 따른 정책 관리 장치(180)에서 종단 통신 장치의 ID를 발급하는 방법을 설명하는 흐름도이다.
도 5를 참조하면, 단계 S501에서, 정책 관리 장치(180)는, 보안 모듈(120, 140, 160)에 종단 통신 장치(110, 150, 170)가 연결되면, 보안 모듈(120, 140, 160)로부터 종단 통신 장치(110, 150, 170)의 MAC 주소 및 IP 주소를 포함하는 연결 알림을 수신한다.
단계 S502에서, 정책 관리 장치(180)는 상기 수신된 연결 알림에 포함된 MAC 주소에 대응하는 서브 ID가 존재하는지 확인한다. 보다 구체적으로, 정책 관리 장치(180)는, 저장부(390)에 저장된 도 2의 정보 중 종단 통신 장치의 정보에서 상기 MAC 주소에 대응하는 서브 ID가 존재하는지 확인한다.
서브 ID가 존재하지 않는 경우, 단계 S503에서, 정책 관리 장치(180)는, 종단 통신 장치(110, 150, 170)의 고유한 서브 ID를 발급하여 저장부(390)에 MAC 주소와 함께 저장한다.
다음으로, 단계 S504에서, 정책 관리 장치(180)는, 상기 발급한 서브 ID 또는 단계 S502에서 확인한 서브 ID에 대응하는 마스터 ID가 존재하는지 확인한다. 보다 구체적으로, 정책 관리 장치(180)는, 상기 연결 알림에 포함된 IP 주소를 이용하여 저장부(390)에 저장된 도 2의 정보 중 IP 주소 정보에, 대응하는 마스터 ID가 존재하는지 확인한다.
마스터 ID가 존재하지 않는 경우, 단계 S505에서, 정책 관리 장치(180)는, 종단 통신 장치(110, 150, 170)의 고유한 마스터 ID를 발급한다. 그리고 단계 S506에서, 정책 관리 장치(180)는, 발급한 마스터 ID 및 상기 IP 주소를 저장부(390)의 IP 주소 정보에 기록한다.
단계 S507에서, 정책 관리 장치(180)는, 상기 발급한 마스터 ID 및 상기 서브 ID를 저장부(390)의 서브 ID 및 마스터 ID의 관계 정보에 기록한다. 또한, 정책 관리 장치(180)는, 종단 통신 장치(110, 150, 170)의 발급된 서브 ID 및 마스터 ID를 보안 모듈(120, 140, 160)로 전송한다.
도 5를 참조한 실시예에 따르면, 외부망에서 볼 때 동일한 공인 IP 주소를 갖는 종단 통신 장치들은 서로 다른 서브 ID를 발급받으면서 동일한 마스터 ID를 발급받게 된다.
상술한 바와 같이 보안 모듈(120, 140, 160)에 종단 통신 장치(110, 150, 170)가 연결되면, 정책 관리 장치(180)의 저장부(390)에는 종단 통신 장치(110, 150, 170)의 마스터 ID 및 IP 주소의 매핑 정보인 IP 주소 정보가 저장된다. 그런데, 종단 통신 장치(110, 150, 170)의 IP 주소는 변경될 수 있다. IP 주소가 변경되면, 보안 모듈(120, 140, 160)이 IP 주소 업데이트 요청 패킷을 정책 관리 장치(180)로 전송하여 정책 관리 장치(180)의 저장부(390)에 저장된 IP 주소 정보를 업데이트해야 한다. 이와 같이 IP 주소 정보를 업데이트하기 위해서는, 종단 통신 장치(110, 150, 170)의 네트워크 환경을 분석하여, 보안 모듈(120, 140, 160)로 알려주어야 한다. 보안 모듈(120, 140, 160)은, 상기 분석된 네트워크 환경에 따라 적절한 방법으로 IP 주소 업데이터 요청 패킷을 정책 관리 장치(180)로 전송한다.
도 6은 본 발명의 일 실시예에 따른 네트워크 환경에 따른 보안 모듈 및 종단 통신 장치의 IP 주소의 구성을 나타낸 도면이다. 도 6의 (a)는, Type 1으로, 도 1에 도시된 바와 같이, 액세스 포인트(130)에 보안 모듈(140, 160)과 종단 통신 장치(150, 170)가 연결되어, 외부망에서 보안 모듈(140, 160)과 종단 통신 장치(150, 170)는 모두 공인 IP 주소인 'A'가 인식되고, 내부적으로 보안 모듈(140, 160)과 종단 통신 장치(150, 170)는 각각 사설 IP 주소인 'X', 'Y'가 할당되는 네트워크 환경이다. 이 경우, 정책 관리 장치(180)의 IP 주소 정보에는 종단 통신 장치의 IP 주소로서 공인 IP 주소인 'A'가 기록된다. 도 6의 (b)는, Type 2로, 도 1에 도시된 보안 모듈(120) 및 종단 통신 장치(110)의 네트워크 환경이다. 외부망에서 보안 모듈(120) 및 종단 통신 장치(110)는 각각 서로 다른 공인 IP 주소로 인식된다. 이 경우, 정책 관리 장치(180)의 IP 주소 정보에는 종단 통신 장치의 IP 주소로서 공인 IP 주소인 'B'가 기록된다. 도 6의 (c)는, Type 3으로, 보안 모듈과 종단 통신 장치가 서로 다른 내부 사설 IP 주소와 서로 다른 외부 공인 IP 주소를 갖는 경우이다. 예를 들어, Multiple WAN IP 주소 환경이다. 이 경우, 정책 관리 장치(180)의 IP 주소 정보에는 종단 통신 장치의 IP 주소로서 외부망에서 보이는 IP 주소인 'B'가 기록된다.
정책 관리 장치(180)의 ID 발급부(360)는, 도 6을 참조하여 설명한 3가지의 네트워크 환경을, 보안 모듈(120, 140, 160)에 종단 통신 장치(110, 150, 170)가 연결됨에 따라 보안 모듈(120, 140, 160)로부터 수신되는 연결 알림 UDP(User Datagram Protocol) 패킷 및 TCP(Transmission Control Protocol)를 분석하여 확인하고, 보안 모듈(120, 140, 160)로 네트워크 환경 정보를 알려준다.
보안 모듈(120, 140, 160)은, 종단 통신 장치(110, 150, 170)가 연결되어 종단 통신 장치(110, 150, 160)로부터 패킷을 수신하면, 그 패킷을 기초로 UDP 패킷과 TCP 패킷을 생성한다. 보안 모듈(120, 140, 160)은, UDP 패킷의 출발지(Src) IP 주소에 종단 통신 장치(110, 150, 170)의 IP 주소를 기록하고, 목적지(Dst) IP 주소에는 정책 관리 장치(180)의 IP 주소를 기록하며, 데이터 필드에는 종단 통신 장치(110, 150, 170)의 IP 주소를 기록한다. 보안 모듈(120, 140, 160)은, TCP 패킷의 출발지(Src) IP 주소에 자신의 IP 주소를 기록하고, 목적지(Dst) IP 주소에는 정책 관리 장치(180)의 IP 주소를 기록한다. 보안 모듈(120, 140, 160)에서 전송된 UDP 패킷 및 TCP 패킷은 네트워크 환경에 따라 패킷 내용이 변경된다. 예를 들어, Type 1, 3의 경우, UDP 패킷의 출발지 IP 주소가 종단 통신 장치(110, 150, 170)의 내부 IP 주소에서 외부 IP 주소, 즉 공인 IP 주소로 변경되지만, Type 2의 경우, UDP 패킷은 변경이 없다. 또한 Type 1, 3의 경우, TCP 패킷의 출발지 IP 주소가 보안 모듈(120, 140, 150)의 내부 IP 주소에서 외부 IP 주소, 즉 공인 IP 주소로 변경되고, Type 2의 경우, 변경이 없다. 이와 같은 UDP 패킷 및 TCP 패킷의 변화를 분석하면 종단 통신 장치(110, 150, 170)의 네트워크 환경을 분석할 수 있다.
도 7은 본 발명의 일 실시예에 따른 정책 관리 장치에서 종단 통신 장치의 네트워크 환경을 자동으로 식별하는 방법을 설명하는 흐름도이다.
단계 S701에서, 정책 관리 장치(180)는, 종단 통신 장치(110, 150, 170)가 보안 모듈(120, 140, 160)에 연결됨에 따른 연결 알림의 UDP 패킷 및 TCP 패킷을 수신한다. 단계 S702에서, 정책 관리 장치(180)는, 수신된 UDP 패킷과 TCP 패킷의 출발지(Src) IP 주소가 동일한지 확인한다.
출발지 IP 주소가 동일한 경우, 단계 S703에서, 정책 관리 장치(180)는 종단 통신 장치(110, 150, 170)의 네트워크 환경이 Type 1인 것으로 판단한다.
한편, 단계 S702에서 출발지 IP 주소가 동일하지 않은 경우, 단계 S704에서, 정책 관리 장치(180)는, UDP 패킷의 출발지 IP 주소와 해당 UDP 패킷의 데이터 필드에 포함되어 있는 IP 주소가 동일한지 확인한다. 동일할 경우, 단계 S705에서, 정책 관리 장치(180)는, 네트워크 환경이 Type 2인 것으로 판단한다.
단계 S704에서 UDP 패킷의 출발지 IP 주소와 해당 UDP 패킷의 데이터 필드에 포함되어 있는 IP 주소가 동일하지 않은 경우, 단계 S706에서, 정책 관리 장치(180)는, 네트워크 환경이 Type 3인 것으로 판단한다.
이상의 도 7을 참조하여 설명한 방법에 따라, 정책 관리 장치(180)는 종단 통신 장치(110, 150, 170)의 네트워크 환경을 분석하고, 분석된 네트워크 환경 정보를 보안 모듈(120, 140, 160)로 전송하여 알려준다.
보안 모듈(120, 140, 160)과 종단 통신 장치(110, 150, 170)가 연결된 후, 종단 통신 장치(110, 150, 170)의 IP 주소가 변경될 수 있다. IP 주소가 변경되면, 정책 관리 장치(180)의 IP 주소 정보에 기록된 종단 통신 장치(110, 150, 170)의 IP 주소의 업데이트가 필요하다. IP 주소의 업데이트의 방법은 네트워크 환경에 따라 서로 다르다. 이하에서 도면을 참조하여 설명한다.
도 8은 본 발명의 일 실시예에 따른 IP 주소 정보를 업데이트하는 방법을 설명하는 흐름도이다. 도 8을 참조한 실시예는, Type 1의 네트워크 환경에 있는 종단 통신 장치의 IP 주소가 변경될 때이다. 예를 들어, 도 1의 실시예에서 제 2 종단 통신 장치(150)의 IP 주소가 변경될 때로, 예를 들어 액세스 포인트(130)의 공인 IP 주소가 변경될 때이다.
도 8을 참조하면, 단계 S801에서, 보안 모듈(140)은, 네트워크 환경이 Type 1인 종단 통신 장치(150)의 서브 ID를 확인한다. 본 실시예에서 서브 ID는 DevID2이다. 단계 S802에서, 보안 모듈(140)은, 상기 확인한 서브 ID를 데이터 필드에 포함하는 IP 주소 업데이트 요청 패킷을 정책 관리 장치(180)로 전송한다. 따라서, IP 주소 업데이트 요청 패킷의 출발지 IP 주소는 액세스 포인트(130)에서 변경된 공인 IP 주소로 설정된다.
단계 S803에서, 정책 관리 장치(180)는, 수신된 패킷에서 출발지 IP 주소와 종단 통신 장치의 서브 ID를 획득한다. 단계 S804에서, 정책 관리 장치(180)는, 저장부(390)에 저장된 서브 ID 및 마스터 ID의 관계 정보에서 상기 획득된 서브 ID에 대응하는 마스터 ID를 확인한다.
단계 S805에서, 정책 관리 장치(180)는, 저장부(390)에 저장된 IP 주소 정보에서, 상기 확인된 마스터 ID에 대응하는 IP 주소를 확인하고, 단계 S806에서, 그 확인한 IP 주소를 상기 출발지 IP 주소로 변경한다. 따라서, 저장부(390)에 저장된 IP 주소 정보에서, 종단 통신 장치(150)의 IP 주소가 업데이트된다.
도 8을 참조한 과정은, 보안 모듈(140)이 주기적으로 수행한다. 즉, 보안 모듈(140)은 액세스 포인트(130)의 공인 IP 주소가 변경된 것을 모르기 때문에, 주기적으로 도 8을 참조한 과정을 수행한다.
도 9는 본 발명의 다른 실시예에 따른 IP 주소 정보를 업데이트하는 방법을 설명하는 흐름도이다. 도 9를 참조한 실시예는, Type 2의 네트워크 환경에 있는 종단 통신 장치의 IP 주소가 변경될 때이다. 예를 들어, 도 1의 실시예에서 제 1 종단 통신 장치(110)의 IP 주소가 변경될 때이다.
도 9를 참조하면, 단계 S901에서, 네트워크 환경이 Type 2인 종단 통신 장치(110)가 보안 모듈(120)로 패킷을 전송한다. 단계 S902에서, 보안 모듈(120)은 패킷에 포함된 MAC 주소를 통해 종단 통신 장치(110)가 Type 2의 네트워크 환경인 것을 확인한다. 그리고 단계 S903에서, 보안 모듈(120)은, 상기 패킷에서 출발지 IP 주소를 획득한다.
단계 S904에서, 보안 모듈(120)은, 획득한 출발지 IP 주소와 기 저장되어 있는 종단 통신 장치(110)의 IP 주소를 비교하여 변경된 것을 확인한다. 단계 S905에서, 보안 모듈(120)은, 데이터 필드에 상기 종단 통신 장치(110)의 서브 ID 및 변경 후 IP 주소, 즉 상기 출발지 IP 주소를 포함하는 IP 주소 업데이트 요청 패킷을 정책 관리 장치(180)로 전송한다.
단계 S906에서, 정책 관리 장치(180)는, IP 주소 업데이트 요청 패킷에서 종단 통신 장치의 서브 ID를 획득하고, 저장부(390)에 저장된 서브 ID 및 마스터 ID의 관계 정보에서 상기 획득된 서브 ID에 대응하는 마스터 ID를 확인한다. 단계 S907에서, 정책 관리 장치(180)는, 저장부(390)에 저장된 IP 주소 정보에서, 상기 확인된 마스터 ID에 대응하는 IP 주소를 확인하고, 단계 S908에서, 그 확인한 IP 주소를 상기 IP 주소 업데이트 요청 패킷에 포함된 변경 후 IP 주소로 변경한다. 따라서, 저장부(390)에 저장된 IP 주소 정보에서, 종단 통신 장치(110)의 IP 주소가 업데이트된다.
도 9를 참조한 실시예에서, 보안 모듈(120)은, 단계 S905에서, IP 주소 업데이트 요청 패킷의 데이터 필드에 변경 후 IP 주소를 삽입하여 전송하였으나, 도 8을 참조한 실시예와 마찬가지로, IP 주소 업데이트 요청 패킷의 출발지 IP 주소를 상기 변경 후 IP 주소로 설정하여 전송할 수 있다. 이 경우, 정책 관리 장치(180)는 출발지 IP 주소를 획득하여 IP 주소를 업데이트한다.
도 10은 본 발명의 또 다른 실시예에 따른 IP 주소 정보를 업데이트하는 방법을 설명하는 흐름도이다. 도 10을 참조한 실시예는, Type 3의 네트워크 환경에 있는 종단 통신 장치의 공인 IP 주소가 변경될 때이다.
도 10을 참조하면, 단계 S1001에서, 보안 모듈은, 네트워크 환경이 Type 3인 종단 통신 장치의 서브 ID 및 사설 IP 주소를 확인한다. 단계 S1002에서, 보안 모듈은, 상기 확인한 서브 ID를 데이터 필드에 포함하고 상기 사설 IP 주소를 출발지 IP 주소로서 포함하는 IP 주소 업데이트 요청 패킷을 정책 관리 장치(180)로 전송한다. 정책 관리 장치(180)로 IP 주소 업데이트 요청 패킷이 전송되는 과정에서 NAT(Network Address Translation)에 의해 출발지 IP 주소는 상기 사설 IP 주소에서 상기 종단 통신 장치의 공인 IP 주소로 변경된다.
단계 S1003에서, 정책 관리 장치(180)는, 수신된 패킷에서 출발지 IP 주소와 종단 통신 장치의 서브 ID를 획득한다. 여기서 확인되는 출발지 IP 주소는 상기 NAT에 의해 변경된 후의 상기 공인 IP 주소이다. 단계 S1004에서, 정책 관리 장치(180)는, 저장부(390)에 저장된 서브 ID 및 마스터 ID의 관계 정보에서 상기 획득된 서브 ID에 대응하는 마스터 ID를 확인한다.
단계 S1005에서, 정책 관리 장치(180)는, 저장부(390)에 저장된 IP 주소 정보에서, 상기 확인된 마스터 ID에 대응하는 IP 주소를 확인하고, 단계 S1006에서, 그 확인한 IP 주소를 상기 출발지 IP 주소로 변경한다. 따라서, 저장부(390)에 저장된 IP 주소 정보에서, 종단 통신 장치(150)의 IP 주소가 업데이트된다.
도 10을 참조한 과정은, 도 8을 참조한 실시예와 마찬가지로, 보안 모듈이 주기적으로 수행한다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
110 : 제 1 종단 통신 장치
120 : 제 1 보안 모듈
130 : 액세스 포인트
140 : 제 2 보안 모듈
150 : 제 2 종단 통신 장치
160 : 제 3 보안 모듈
170 : 제 3 종단 통신 장치
180 : 정책 관리 장치
310, 410 : 수신부
320, 420 : ID 확인부
330, 430 : 저장부
340, 440 : 정책 조회부
350, 450 : 전송부
360 : ID 발급부
370 : IP 주소 관리부
380 : 정책 관리부
390 : 저장부

Claims (22)

  1. 각 종단 통신 장치마다 통신 가능하게 연결되는 보안 장치와 통신하고 종단 통신 장치 간 통신의 보안 정책을 관리하는 정책 관리 장치에 있어서,
    상기 보안 장치로부터 종단 통신 장치의 연결 알림을 수신하면 종단 통신 장치의 서브 ID 및 마스터 ID를 발급하는 ID 발급부;
    상기 마스터 ID와 IP 주소의 매핑 정보인 IP 주소 정보와, 통신이 허용된 종단 통신 장치들의 ID의 매핑 정보인 정책 정보와, 상기 서브 ID와 상기 마스터 ID의 관계 정보를 저장하는 저장부;
    제 1 종단 통신 장치에 연결된 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치로부터 제 2 종단 통신 장치로 향하는 제 1 패킷의 목적지 IP 주소를 수신하면, 수신된 목적지 IP 주소에 대응하는 마스터 ID를 상기 저장부에서 조회하여 상기 제 1 보안 장치로 전송하는 IP 주소 관리부; 및
    상기 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치의 서브 ID 및 마스터 ID와, 상기 목적지 IP 주소에 대응하는 마스터 ID를 포함하는 상기 제 1 패킷에 대한 정책 질의를 수신하고, 상기 정책 정보를 참조하여 상기 제 1 보안 장치로 승인 응답을 전송하는 정책 관리부;를 포함하는 정책 관리 장치.
  2. 제 1 항에 있어서,
    상기 연결 알림은, 종단 통신 장치의 MAC 주소 및 IP 주소를 포함하고,
    상기 ID 발급부는,
    상기 MAC 주소를 기준으로 상기 서브 ID를 발급하고, 상기 연결 알림에 포함된 IP 주소를 기준으로 상기 마스터 ID를 발급하는 것을 특징으로 하는 정책 관리 장치.
  3. 제 2 항에 있어서,
    상기 ID 발급부는,
    동일한 공인 IP 주소에 속하면서 각기 다른 사설 IP 주소를 할당받는 종단 통신 장치들은 동일한 마스터 ID를 발급하고 서로 다른 서브 ID를 발급하는 것을 특징으로 하는 정책 관리 장치.
  4. 제 1 항에 있어서,
    상기 정책 정보는,
    서로 통신이 허용된 각 종단 통신 장치의 서브 ID 및 마스터 ID마다 타 종단 통신 장치의 마스터 ID의 매핑 정보인 것을 특징으로 하는 정책 관리 장치.
  5. 제 1 항에 있어서,
    상기 ID 발급부는,
    상기 연결 알림의 UDP 패킷 및 TCP 패킷을 분석하여 종단 통신 장치의 네트워크 환경을 분석하고, 분석된 네트워크 환경 정보를 보안 장치로 전송하는 것을 특징으로 하는 정책 관리 장치.
  6. 제 5 항에 있어서,
    상기 ID 발급부는,
    상기 UDP 패킷과 상기 TCP 패킷의 출발지 IP 주소가 동일하면 네트워크 환경을 Type 1로 판단하고, 상기 UDP 패킷과 상기 TCP 패킷의 출발지 IP 주소가 다르면서 상기 UDP 패킷의 출발지 주소와 데이터 필드에 포함된 IP 주소가 동일하면 Type 2로 판단하며, 그 외에는 Type 3으로 판단하는 것을 특징으로 하는 정책 관리 장치.
  7. 제 6 항에 있어서,
    상기 IP 주소 관리부는,
    상기 Type 1 및 상기 Type 3의 경우, 보안 장치로부터 수신되는 IP 주소 업데이트 요청 패킷의 출발지 IP 주소 및 데이터 필드에 기록된 서브 ID를 이용하여 상기 IP 주소 정보를 업데이트하는 것을 특징으로 하는 정책 관리 장치.
  8. 제 7 항에 있어서,
    상기 IP 주소 관리부는,
    상기 데이터 필드에 기록된 서브 ID에 대응하는 마스터 ID를 상기 관계 정보에서 확인한 후, 그 확인된 마스터 ID에 대응하는 IP 주소를 상기 IP 주소 정보에서 확인하고, 그 확인된 IP 주소를 상기 IP 주소 업데이트 요청 패킷의 출발지 IP 주소로 변경하는 것을 특징으로 하는 정책 관리 장치.
  9. 제 6 항에 있어서,
    상기 IP 주소 관리부는,
    상기 Type 2의 경우, 보안 장치로부터 수신되는 IP 주소 업데이트 요청 패킷의 데이터 필드에 기록된 서브 ID 및 IP 주소를 이용하여 상기 IP 주소 정보를 업데이트하는 것을 특징으로 하는 정책 관리 장치.
  10. 제 9 항에 있어서,
    상기 IP 주소 관리부는,
    상기 데이터 필드에 기록된 서브 ID에 대응하는 마스터 ID를 상기 관계 정보에서 확인한 후, 그 확인된 마스터 ID에 대응하는 IP 주소를 상기 IP 주소 정보에서 확인하고, 그 확인된 IP 주소를 상기 데이터 필드에 기록된 IP 주소로 변경하는 것을 특징으로 하는 정책 관리 장치.
  11. 제 1 항에 있어서,
    상기 IP 주소 관리부는,
    상기 제 1 보안 장치로부터, 상기 제 2 종단 통신 장치로부터 상기 제 1 종단 통신 장치로 향하는 제 2 패킷의 출발지 IP 주소를 수신하면, 수신된 출발지 IP 주소에 대응하는 마스터 ID를 상기 저장부에서 조회하여 상기 제 1 보안 장치로 전송하고,
    상기 정책 관리부는,
    상기 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치의 서브 ID 및 마스터 ID와, 상기 출발지 IP 주소에 대응하는 마스터 ID를 포함하는 상기 제 2 패킷에 대한 정책 질의를 수신하고, 상기 정책 정보를 참조하여 상기 제 1 보안 장치로 승인 응답을 전송하는 것을 특징으로 하는 정책 관리 장치.
  12. 각 종단 통신 장치마다 통신 가능하게 연결되는 보안 장치와 통신하고 종단 통신 장치 간 통신의 보안 정책을 관리하는 정책 관리 장치에서 종단 간 통신의 보안을 제공하는 방법으로서,
    상기 보안 장치로부터 종단 통신 장치의 연결 알림을 수신하면 종단 통신 장치의 서브 ID 및 마스터 ID를 발급하는 단계;
    상기 마스터 ID와 IP 주소의 매핑 정보인 IP 주소 정보와, 통신이 허용된 종단 통신 장치들의 ID의 매핑 정보인 정책 정보와, 상기 서브 ID와 상기 마스터 ID의 관계 정보를 저장부에 저장하는 단계;
    제 1 종단 통신 장치에 연결된 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치로부터 제 2 종단 통신 장치로 향하는 제 1 패킷의 목적지 IP 주소를 수신하고, 수신된 목적지 IP 주소에 대응하는 마스터 ID를 상기 저장부에서 조회하여 상기 제 1 보안 장치로 전송하는 단계; 및
    상기 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치의 서브 ID 및 마스터 ID와, 상기 목적지 IP 주소에 대응하는 마스터 ID를 포함하는 상기 제 1 패킷에 대한 정책 질의를 수신하고, 상기 정책 정보를 참조하여 상기 제 1 보안 장치로 승인 응답을 전송하는 단계를 포함하는 방법.
  13. 제 12 항에 있어서,
    상기 연결 알림은, 종단 통신 장치의 MAC 주소 및 IP 주소를 포함하고,
    상기 발급하는 단계는,
    상기 MAC 주소를 기준으로 상기 서브 ID를 발급하고, 상기 연결 알림에 포함된 IP 주소를 기준으로 상기 마스터 ID를 발급하는 것을 특징으로 하는 방법.
  14. 제 13 항에 있어서,
    상기 발급하는 단계는,
    동일한 공인 IP 주소에 속하면서 각기 다른 사설 IP 주소를 할당받는 종단 통신 장치들은 동일한 마스터 ID를 발급하고 서로 다른 서브 ID를 발급하는 것을 특징으로 하는 방법.
  15. 제 12 항에 있어서,
    상기 정책 정보는,
    서로 통신이 허용된 각 종단 통신 장치의 서브 ID 및 마스터 ID마다 타 종단 통신 장치의 마스터 ID의 매핑 정보인 것을 특징으로 하는 방법.
  16. 제 12 항에 있어서,
    상기 연결 알림의 UDP(User Datagram Protocol) 패킷 및 TCP(Transmission Control Protocol) 패킷을 분석하여 종단 통신 장치의 네트워크 환경을 분석하고, 분석된 네트워크 환경 정보를 보안 장치로 전송하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  17. 제 16 항에 있어서,
    상기 네트워크 환경의 분석은,
    상기 UDP 패킷과 상기 TCP 패킷의 출발지 IP 주소가 동일하면 네트워크 환경을 Type 1로 판단하고, 상기 UDP 패킷과 상기 TCP 패킷의 출발지 IP 주소가 다르면서 상기 UDP 패킷의 출발지 주소와 데이터 필드에 포함된 IP 주소가 동일하면 Type 2로 판단하며, 그 외에는 Type 3으로 판단하는 것을 특징으로 하는 방법.
  18. 제 17 항에 있어서,
    상기 Type 1 및 상기 Type 3의 경우, 보안 장치로부터 수신되는 IP 주소 업데이트 요청 패킷의 출발지 IP 주소 및 데이터 필드에 기록된 서브 ID를 이용하여 상기 IP 주소 정보를 업데이트하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  19. 제 18 항에 있어서,
    상기 업데이트하는 단계는,
    상기 데이터 필드에 기록된 서브 ID에 대응하는 마스터 ID를 상기 관계 정보에서 확인한 후, 그 확인된 마스터 ID에 대응하는 IP 주소를 상기 IP 주소 정보에서 확인하고, 그 확인된 IP 주소를 상기 IP 주소 업데이트 요청 패킷의 출발지 IP 주소로 변경하는 것을 특징으로 하는 방법.
  20. 제 17 항에 있어서,
    상기 Type 2의 경우, 보안 장치로부터 수신되는 IP 주소 업데이트 요청 패킷의 데이터 필드에 기록된 서브 ID 및 IP 주소를 이용하여 상기 IP 주소 정보를 업데이트하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  21. 제 20 항에 있어서,
    상기 업데이트하는 단계는,
    상기 데이터 필드에 기록된 서브 ID에 대응하는 마스터 ID를 상기 관계 정보에서 확인한 후, 그 확인된 마스터 ID에 대응하는 IP 주소를 상기 IP 주소 정보에서 확인하고, 그 확인된 IP 주소를 상기 데이터 필드에 기록된 IP 주소로 변경하는 것을 특징으로 하는 방법.
  22. 제 12 항에 있어서,
    상기 제 1 보안 장치로부터, 상기 제 2 종단 통신 장치로부터 상기 제 1 종단 통신 장치로 향하는 제 2 패킷의 출발지 IP 주소를 수신하고, 수신된 출발지 IP 주소에 대응하는 마스터 ID를 상기 저장부에서 조회하여 상기 제 1 보안 장치로 전송하는 단계; 및
    상기 제 1 보안 장치로부터, 상기 제 1 종단 통신 장치의 서브 ID 및 마스터 ID와, 상기 출발지 IP 주소에 대응하는 마스터 ID를 포함하는 상기 제 2 패킷에 대한 정책 질의를 수신하고, 상기 정책 정보를 참조하여 상기 제 1 보안 장치로 승인 응답을 전송하는 단계를 더 포함하는 것을 특징으로 하는 방법.
KR1020190136179A 2019-10-30 종단 간 통신에 보안을 제공하기 위한 장치 및 방법 KR102683438B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190136179A KR102683438B1 (ko) 2019-10-30 종단 간 통신에 보안을 제공하기 위한 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190136179A KR102683438B1 (ko) 2019-10-30 종단 간 통신에 보안을 제공하기 위한 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20210051208A true KR20210051208A (ko) 2021-05-10
KR102683438B1 KR102683438B1 (ko) 2024-07-08

Family

ID=

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117459321A (zh) * 2023-12-21 2024-01-26 明阳点时科技(沈阳)有限公司 一种端到端可信通信方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117459321A (zh) * 2023-12-21 2024-01-26 明阳点时科技(沈阳)有限公司 一种端到端可信通信方法及系统
CN117459321B (zh) * 2023-12-21 2024-03-08 明阳点时科技(沈阳)有限公司 一种端到端可信通信方法及系统

Similar Documents

Publication Publication Date Title
US10958623B2 (en) Identity and metadata based firewalls in identity enabled networks
US10356092B2 (en) Uncloneable registration of an internet of things (IoT) device in a network
US8073936B2 (en) Providing support for responding to location protocol queries within a network node
US8015402B2 (en) Address-authentification-information issuing apparatus, address-authentification-information adding apparatus, false-address checking apparatus, and network system
Memon A secure and efficient communication scheme with authenticated key establishment protocol for road networks
CN103975552A (zh) 经由经认证的路由器的数据交换
US8737396B2 (en) Communication method and communication system
US8990573B2 (en) System and method for using variable security tag location in network communications
JP2020017809A (ja) 通信装置及び通信システム
US20220174072A1 (en) Data Processing Method and Device
CN102404334A (zh) 拒绝服务攻击防护方法及装置
KR102156206B1 (ko) 종단 간 통신에 보안을 제공하기 위한 장치 및 방법
CN102439912B (zh) 通信控制装置及监视装置
US11582201B1 (en) Establishing and maintaining trusted relationship between secure network devices in secure peer-to-peer data network based on obtaining secure device identity containers
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
KR102683438B1 (ko) 종단 간 통신에 보안을 제공하기 위한 장치 및 방법
KR20210051208A (ko) 종단 간 통신에 보안을 제공하기 위한 장치 및 방법
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
KR20190125339A (ko) 신호를 방출하는 송신기 및 신호를 수신하는 수신기
US11171915B2 (en) Server apparatus, client apparatus and method for communication based on network address mutation
KR20210051207A (ko) 종단 간 통신에 보안을 제공하기 위한 장치 및 방법
KR100827166B1 (ko) 무선 센서 네트워크에서 소스 센서의 익명성 제공 방법
WO2015138971A1 (en) Determining the precise geolocation of a wireless internet target
US20130133060A1 (en) Communication system, control device and control program
KR20150060050A (ko) 네트워크 장치 및 네트워크 장치의 터널 형성 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right