KR20210056196A - Method for determining a security threat on a radio access network and electronic device - Google Patents
Method for determining a security threat on a radio access network and electronic device Download PDFInfo
- Publication number
- KR20210056196A KR20210056196A KR1020190156388A KR20190156388A KR20210056196A KR 20210056196 A KR20210056196 A KR 20210056196A KR 1020190156388 A KR1020190156388 A KR 1020190156388A KR 20190156388 A KR20190156388 A KR 20190156388A KR 20210056196 A KR20210056196 A KR 20210056196A
- Authority
- KR
- South Korea
- Prior art keywords
- security
- module
- wireless communication
- virtualization module
- data
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/20—Network management software packages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Abstract
Description
본 개시의 다양한 실시예는 무선 접속 네트워크상의 보안 위협 판단 방법 및 전자 장치에 관한 것이다.Various embodiments of the present disclosure relate to a method and an electronic device for determining a security threat on a wireless access network.
4G(4th-Generation) 통신 시스템 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 개선된 5G(5th-Generation) 통신 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 5G 통신 시스템 또는 pre-5G 통신 시스템은 4G 네트워크 이후(beyond 4G network) 통신 시스템 또는 LTE 시스템 이후(post LTE)의 시스템이라 불리고 있다. Efforts are being made to develop an improved 5G (5 th -Generation) communication system or a pre-5G communication system in order to meet the increasing demand for wireless data traffic since the commercialization of 4G (4 th -Generation) communication systems. . For this reason, the 5G communication system or the pre-5G communication system is called a communication system beyond 4G network or a system after LTE system (post LTE).
높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 mmWave 대역(예를 들어, 6~60GHz 대역에서의 구현이 고려되고 있다. mmWave 대역에서 전파의 경로 손실 완화 및 전파의 전달 거리를 증가시키기 위해, 5G 통신 시스템에서는 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO), 전차원 다중입출력(full dimensional MIMO; FD-MIMO), 어레이 안테나(array antenna), 아날로그 빔형성(analog beam-forming), 및 대규모 안테나(large scale antenna) 기술들이 논의되고 있다.In order to achieve a high data rate, 5G communication systems are considered to be implemented in the mmWave band (for example, 6 to 60 GHz band. In order to mitigate the path loss of radio waves and increase the transmission distance of radio waves in the mmWave band, 5G In a communication system, beamforming, massive MIMO, full dimensional MIMO (FD-MIMO), array antenna, analog beam-forming, and Large scale antenna technologies are being discussed.
또한 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀, 개선된 소형 셀(advanced small cell), 클라우드 무선 액세스 네트워크(cloud radio access network: cloud RAN), 초고밀도 네트워크(ultra-dense network), 기기 간 통신(device to device communication: D2D), 무선 백홀(wireless backhaul), 이동 네트워크(moving network), 협력 통신(cooperative communication), CoMP(coordinated multi-points), 및 수신 간섭제거 (interference cancellation) 등의 기술 개발이 이루어지고 있다. In addition, in order to improve the network of the system, in 5G communication systems, evolved small cells, advanced small cells, cloud radio access networks (cloud RAN), and ultra-dense networks. , Device to device communication (D2D), wireless backhaul, moving network, cooperative communication, coordinated multi-points (CoMP), and interference cancellation And other technologies are being developed.
이 밖에도, 5G 통신 시스템에서는 진보된 코딩 변조(advanced coding modulation: ACM) 방식인 FQAM(hybrid FSK and QAM modulation) 및 SWSC(sliding window superposition coding)와, 진보된 접속 기술인 FBMC(filter bank multi carrier), NOMA(non-orthogonal multiple access), 및 SCMA(sparse code multiple access) 등이 개발되고 있다.In addition, in the 5G communication system, hybrid FSK and QAM modulation (FQAM) and sliding window superposition coding (SWSC), which are advanced coding modulation (ACM) schemes, and filter bank multi carrier (FBMC), which are advanced access technologies, Non-orthogonal multiple access (NOMA), sparse code multiple access (SCMA), and the like are being developed.
4G 통신 시스템 및 5G 통신 시스템이 상용화됨에 따라, 통신 네트워크 시스템에 가상화 기반의 기술들이 적용되고 있다. 예컨대, 기지국에서 처리되던 무선 통신 프로토콜의 기능들 중 적어도 일부 기능들이 네트워크 가상화 기술에 의해 범용 장치 내에서 소프트웨어 모듈의 형태로 구현되고 있다.As 4G communication systems and 5G communication systems are commercialized, virtualization-based technologies are being applied to communication network systems. For example, at least some of the functions of the wireless communication protocol processed by the base station are implemented in the form of software modules in a general-purpose device by network virtualization technology.
상기 네트워크 가상화 기술은 유연성과 확장성 등에서 많은 장점들이 있으나, 그에 따른 보안 위협이 증대되고 보안 관리의 복잡도가 증가할 수 있다. 예컨대, 네트워크 가상화 기술이 적용된 장비에 대해서는 보안 위협을 가져오는 악의적인 공격들이 가능하며, 네트워크 가상화 기술이 적용된 환경에서는 상기 악의적인 공격에 의해 네트워크 장비가 이상 동작하게 될 경우 파급력이 증가할 수 있다.Although the network virtualization technology has many advantages in terms of flexibility and scalability, security threats may increase and complexity of security management may increase. For example, malicious attacks that bring a security threat to a device to which the network virtualization technology is applied may be possible, and in an environment to which the network virtualization technology is applied, if a network device is abnormally operated due to the malicious attack, the ripple power may increase.
다양한 실시예에 따르면, 무선 접속 네트워크(radio access network; RAN)에 대해 가상화 기술이 적용된 장비 내에 보안 에이전트를 설치하고, 상기 보안 에이전트에 의해 실시간으로 장비 또는 네트워크 가상화 모듈의 보안 위협을 판단함으로써 상기 보안 위협에 대한 즉각적인 대처가 가능하고, 무선 통신 프로토콜 상의 취약점을 이용한 다양한 공격들에 대한 탐지 및 대처를 할 수 있다.According to various embodiments, a security agent is installed in a device to which virtualization technology is applied to a radio access network (RAN), and the security agent is used to determine the security threat of the device or network virtualization module in real time. It is possible to immediately respond to threats and detect and respond to various attacks using vulnerabilities in wireless communication protocols.
다양한 실시예에 따라서, 전자 장치는, 통신 인터페이스; 상기 통신 인터페이스와 작동적으로 연결된 프로세서; 및 상기 프로세서와 작동적으로 연결된 메모리를 포함하고, 상기 메모리는, 실행 시에, 상기 프로세서가, 무선 접속 네트워크를 통해 전송되는 무선 통신 데이터를 상기 통신 인터페이스를 통해 수신하고, 적어도 하나의 제1 가상화 모듈에 의해 상기 수신된 무선 통신 데이터를 무선 네트워크 프로토콜에 기반하여 처리하고, 상기 적어도 하나의 제1 가상화 모듈의 동작에 따라 상기 무선 통신 데이터와 관련된 보안 정보가 생성되면, 제2 가상화 모듈에 의해 상기 생성된 보안 정보에 대응하는 무선 통신 데이터를 확인하여 예상되는 무선 접속 네트워크상의 보안 위협을 판단하도록 하는 인스트럭션들을 저장할 수 있다.According to various embodiments, an electronic device includes: a communication interface; A processor operatively connected to the communication interface; And a memory operatively connected to the processor, the memory, when executed, the processor receives wireless communication data transmitted through a wireless access network through the communication interface, and at least one first virtualization When the wireless communication data received by the module is processed based on a wireless network protocol, and security information related to the wireless communication data is generated according to an operation of the at least one first virtualization module, the second virtualization module Instructions for determining an expected security threat on a wireless access network by checking wireless communication data corresponding to the generated security information may be stored.
다양한 실시예에 따라서, 전자 장치의 무선 접속 네트워크상의 보안 위협 판단 방법은, 무선 접속 네트워크를 통해 전송되는 무선 통신 데이터를 수신하는 동작; 적어도 하나의 제1 가상화 모듈에 의해 상기 수신된 무선 통신 데이터를 무선 네트워크 프로토콜에 기반하여 처리하는 동작; 상기 적어도 하나의 제1 가상화 모듈의 동작에 따라 생성된 상기 무선 통신 데이터와 관련된 보안 정보를 확인하는 동작; 및 제2 가상화 모듈에 의해 상기 생성된 보안 정보에 대응하는 무선 통신 데이터를 확인하여 예상되는 무선 접속 네트워크상의 보안 위협을 판단하는 동작;을 포함할 수 있다.According to various embodiments of the present disclosure, a method of determining a security threat on a wireless access network of an electronic device may include: receiving wireless communication data transmitted through the wireless access network; Processing the received wireless communication data by at least one first virtualization module based on a wireless network protocol; Checking security information related to the wireless communication data generated according to an operation of the at least one first virtualization module; And determining an expected security threat on the wireless access network by checking wireless communication data corresponding to the generated security information by the second virtualization module.
다양한 실시예에 따라서, 무선 접속 네트워크 장비를 가상화 한 가상화 네트워크 기능(VNF) 모듈을 가지는 전자 장치 내에 가상화 네트워크 기능(VNF) 모듈과는 별도로 보안 에이전트를 설치하고, 실시간으로 보안 위협을 판단하도록 함으로써 보안 위협 처리에 대한 레이턴시(latency)를 최소화할 수 있다.According to various embodiments, security by installing a security agent in an electronic device having a virtualized network function (VNF) module that virtualizes wireless access network equipment, separate from the virtualized network function (VNF) module, and determining security threats in real time. Latency for threat processing can be minimized.
다양한 실시예에 따라, 무선 접속 네트워크 장비를 가상화한 가상화 네트워크 기능(VNF) 모듈과 별도의 무선 접속 네트워크에 대한 보안 위협을 판단하기 위한 보안 에이전트를 동일한 장비 내에 설치함으로써 레이턴시를 최소화하며 타 장비에서 처리할 경우 발생할 수 있는 오버헤드(overhead)를 줄일 수 있다.According to various embodiments, a virtual network function (VNF) module that virtualizes a wireless access network device and a security agent for determining security threats to a separate wireless access network are installed in the same device to minimize latency and process it in other devices. If you do, you can reduce the overhead (overhead) that may occur.
다양한 실시예에 따라서, 무선 접속 네트워크 장비를 가상화 한 가상화 네트워크 기능(VNF) 모듈을 가지는 전자 장치 내에 별도의 보안 에이전트를 설치하고, 실시간으로 보안 위협을 판단하도록 함으로써 vRAN(virtualized radio access network) 장비의 공격(예컨대, DoS, DDos, 스푸핑, 익스플로잇)에 대한 즉각적인 대응이 가능하며, vRAN에서 처리하는 데이터에서 이상 징후가 발견될 경우에도, 해당 장비를 재부팅 또는 업데이트할 필요 없이 예상되는 공격에 대처할 수 있다.According to various embodiments, a separate security agent is installed in an electronic device having a virtualized network function (VNF) module virtualizing a wireless access network device, and a security threat is determined in real time. Immediate response to attacks (e.g., DoS, DDos, spoofing, exploits) is possible, and even if anomalies are found in the data processed by vRAN, it is possible to respond to expected attacks without the need to reboot or update the device. .
다양한 실시예에 따라서, 무선 접속 네트워크 장비를 가상화 한 가상화 네트워크 기능(VNF) 모듈을 가지는 전자 장치 내에 별도의 보안 에이전트를 설치하고, 보안 서버에서 상기 각 보안 에이전트의 분석 결과를 수집 및 분석함으로써 네트워크 토폴로지(network topology) 정보에 기반하여 각종 유형의 보안 공격에 대처할 수 있다.According to various embodiments, a separate security agent is installed in an electronic device having a virtualized network function (VNF) module that virtualizes wireless access network equipment, and the security server collects and analyzes the analysis results of each security agent to provide a network topology. It can cope with various types of security attacks based on (network topology) information.
도 1은 다양한 실시예들에 따른, 네트워크 환경 내의 시스템 블럭도이다.
도 2a 및 도 2b는 다양한 실시예들에 따른, 무선 접속 네트워크의 구성 예를 나타내는 도면이다.
도 3은 다양한 실시예에 따른 무선 통신 프로토콜의 계층 간 데이터 처리를 나타내는 도면이다.
도 4는 다양한 실시예에 따른 전자 장치의 세부 구성을 나타내는 블록도이다.
도 5a는 본 개시의 일 실시 예에 따른 보안 서버 및 전자 장치의 세부 구성을 나타내는 블록도이다.
도 5b는 본 개시의 일 실시 예에 따른 전자 장치의 로그 수집 동작을 나타내는 도면이다.
도 5c는 본 개시의 일 실시 예에 따른 전자 장치에서 보안 서버로의 보안 리포트 전송 동작을 예시한 도면입니다.
도 5d는 본 개시의 일 실시 예에 따른 보안 서버에서 보안 정책을 생성하여 적용하는 동작을 예시한 도면입니다.
도 6은 본 개시의 일 실시 예에 따른 VNF 모듈에서 동작할 MAC 계층 동작의 설명을 위한 도면이다.
도 7은 본 개시의 일 실시 예에 따른 VNF 모듈에서 동작할 MAC 계층 동작의 설명을 위한 도면이다.
도 8은 본 개시의 일 실시 예에 따른 VNF 모듈에서 처리되는 MAC PDU 데이터의 구성을 나타내는 도면이다.
도 9는 본 개시의 일 실시 예에 따른 PDCP 계층 프로토콜 처리 절차를 나타내는 도면이다.
도 10은 본 개시의 일 실시 예에 따른 VNF 모듈에서 처리되는 PDCP 데이터의 구성을 나타내는 도면이다.
도 11은 본 개시의 일 실시 예에 따른 VNF 모듈에서 처리되는 PDCP 데이터의 구성을 나타내는 도면이다.
도 12는 본 개시의 일 실시 예에 따른 VNF 모듈에서 처리되는 PDCP 데이터의 구성을 나타내는 도면이다.
도 13은 다양한 실시예들에 따른 보안 서버와 연동하여 보안 정책을 적용하는 실시예를 나타내는 도면이다.
도 14는 다양한 실시예들에 따른 보안 서버와 연동하여 보안 정책을 적용하는 실시예를 나타내는 도면이다.
도 15는 다양한 실시예들에 따른 전자 장치의 동작 절차를 나타내는 흐름도이다.
도 16은 다양한 실시예들에 따른 각 장치들 간의 동작 절차를 나타내는 신호 흐름도이다.1 is a block diagram of a system in a network environment according to various embodiments.
2A and 2B are diagrams illustrating an example of a configuration of a wireless access network according to various embodiments.
3 is a diagram illustrating data processing between layers of a wireless communication protocol according to various embodiments.
4 is a block diagram illustrating a detailed configuration of an electronic device according to various embodiments of the present disclosure.
5A is a block diagram illustrating a detailed configuration of a security server and an electronic device according to an embodiment of the present disclosure.
5B is a diagram illustrating a log collection operation of an electronic device according to an embodiment of the present disclosure.
5C is a diagram illustrating an operation of transmitting a security report from an electronic device to a security server according to an embodiment of the present disclosure.
5D is a diagram illustrating an operation of creating and applying a security policy in a security server according to an embodiment of the present disclosure.
6 is a diagram for describing an operation of a MAC layer to be operated in a VNF module according to an embodiment of the present disclosure.
7 is a diagram for describing an operation of a MAC layer to be operated in a VNF module according to an embodiment of the present disclosure.
8 is a diagram illustrating a configuration of MAC PDU data processed by a VNF module according to an embodiment of the present disclosure.
9 is a diagram illustrating a PDCP layer protocol processing procedure according to an embodiment of the present disclosure.
10 is a diagram illustrating a configuration of PDCP data processed by a VNF module according to an embodiment of the present disclosure.
11 is a diagram illustrating a configuration of PDCP data processed by a VNF module according to an embodiment of the present disclosure.
12 is a diagram illustrating a configuration of PDCP data processed by a VNF module according to an embodiment of the present disclosure.
13 is a diagram illustrating an embodiment in which a security policy is applied by interworking with a security server according to various embodiments.
14 is a diagram illustrating an embodiment in which a security policy is applied by interworking with a security server according to various embodiments.
15 is a flowchart illustrating an operation procedure of an electronic device according to various embodiments of the present disclosure.
16 is a signal flow diagram illustrating an operation procedure between devices according to various embodiments.
이하 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 상세히 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In addition, in describing the present invention, when it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. In addition, terms to be described later are terms defined in consideration of functions in the present invention, which may vary according to the intention or custom of users or operators. Therefore, the definition should be made based on the contents throughout the present specification.
본 명세서에서 사용되는 기술적 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 명세서에서 사용되는 기술적 용어는 본 명세서에서 특별히 다른 의미로 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나, 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 명세서에서 사용되는 기술적인 용어가 본 발명의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는, 당업자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 발명에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라, 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.It should be noted that the technical terms used in the present specification are only used to describe specific embodiments, and are not intended to limit the present invention. In addition, the technical terms used in the present specification should be interpreted as generally understood by those of ordinary skill in the technical field to which the present invention belongs, unless otherwise defined in this specification. It should not be construed as a human meaning or an excessively reduced meaning. In addition, when a technical term used in the present specification is an incorrect technical term that does not accurately express the spirit of the present invention, it will be replaced with a technical term that can be correctly understood by those skilled in the art to be understood. In addition, general terms used in the present invention should be interpreted as defined in the dictionary or according to the context before and after, and should not be interpreted as an excessively reduced meaning.
또한, 본 명세서에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "구성된다" 또는 "포함한다" 등의 용어는 명세서 상에 기재된 여러 구성 요소들, 또는 여러 단계들을 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다.In addition, a singular expression used in the present specification includes a plurality of expressions unless the context clearly indicates otherwise. In the present application, terms such as “consisting of” or “comprising” should not be construed as necessarily including all of the various elements or various steps described in the specification, and some of the elements or some steps It may not be included, or it should be interpreted that it may further include additional components or steps.
또한, 본 명세서에서 사용되는 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성 요소로 명명될 수 있고, 유사하게 제2 구성 요소도 제1 구성 요소로 명명될 수 있다. In addition, terms including ordinal numbers such as first and second used in the present specification may be used to describe various components, but the components should not be limited by the terms. The above terms are used only for the purpose of distinguishing one component from another component. For example, without departing from the scope of the present invention, a first element may be referred to as a second element, and similarly, a second element may be referred to as a first element.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is referred to as being "connected" or "connected" to another component, it may be directly connected or connected to the other component, but other components may exist in the middle. On the other hand, when a component is referred to as being "directly connected" or "directly connected" to another component, it should be understood that there is no other component in the middle.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 발명의 사상을 쉽게 이해할 수 있도록 하기 위한 것일뿐, 첨부된 도면에 의해 본 발명의 사상이 제한되는 것으로 해석되어서는 아니됨을 유의해야 한다. 본 발명의 사상은 첨부된 도면외에 모든 변경, 균등물 내지 대체물에 까지도 확장되는 것으로 해석되어야 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings, but identical or similar components are assigned the same reference numerals regardless of the reference numerals, and redundant descriptions thereof will be omitted. In addition, in describing the present invention, when it is determined that a detailed description of a related known technology may obscure the subject matter of the present invention, a detailed description thereof will be omitted. In addition, it should be noted that the accompanying drawings are only intended to facilitate understanding of the spirit of the present invention, and should not be construed as limiting the spirit of the present invention by the accompanying drawings. The spirit of the present invention should be construed as extending to all changes, equivalents, or substitutes in addition to the accompanying drawings.
도 1은 본 개시의 일 실시 예에 따른 시스템 구성을 나타내는 도면이다. 도 1을 참조하면, 본 개시의 실시예에 따른 시스템(100)은 보안 서버(110) 및 적어도 하나의 전자 장치(120)를 포함하여 구성될 수 있다. 보안 서버(110)는 보안 모듈(111)을 포함할 수 있다. 상기 보안 모듈(111)은 상기 보안 서버(110)에 소프트웨어 모듈 형태로 설치되는 가상화 모듈일 수 있다. 다양한 실시예에 따라, 상기 보안 서버(110)는 보안 오케스트레이터(security orchestrator; SO), 엘리먼트 관리 시스템(element management system; EMS), 또는 원격 보안 에이전트(remote security agent)로 대체되거나, 각각의 적어도 일부에 포함되어 구현될 수도 있다. 다양한 실시예에 따라, 상기 보안 서버(110)는 상기 보안 오케스트레이터, 엘리먼트 관리 시스템, 또는 원격 보안 에이전트와는 별도로 구성된 서버에 포함될 수도 있다. 상기 보안 서버(110)는 후술하는 보안과 관련된 기능을 위해 별도로 구성된 서버일 수도 있으며, 다른 목적을 위한 서버 또는 범용 서버에 후술하는 보안과 관련된 기능이 포함된 서버일 수도 있다.1 is a diagram illustrating a system configuration according to an embodiment of the present disclosure. Referring to FIG. 1, a
상기 전자 장치(120)(또는 서버)는 적어도 하나의 가상화 모듈을 포함할 수 있다. 다양한 실시예에 따라, 상기 전자 장치(120)는 무선 네트워크 프로토콜에 기반하여 무선 통신 데이터를 처리하는 적어도 하나의 제1 가상화 모듈을 포함할 수 있으며, 후술하는 설명에서는 상기 적어도 하나의 제1 가상화 모듈을 설명의 편의상 가상화 네트워크 기능(virtual network function; VNF) 모듈(121)로 지칭하기로 한다. 다양한 실시예에 따라, 상기 전자 장치(120)는 상기 적어도 하나의 제1 가상화 모듈과 연동하여 상기 적어도 하나의 제1 가상화 모듈에 대한 보안과 관련된 기능을 처리하는 제2 가상화 모듈을 포함할 수 있으며, 후술하는 설명에서는 상기 제2 가상화 모듈을 설명의 편의상 보안 모듈(122) 또는 보안 에이전트(security agent; SA)로 지칭하기로 한다.The electronic device 120 (or server) may include at least one virtualization module. According to various embodiments, the
다양한 실시예에 따라, 상기 VNF 모듈(121)은 적어도 하나의 무선 액세스 네트워크 가상화(virtual radio access network; vRAN) 장치에서 수행되는 기능의 적어도 일부 기능을 포함할 수 있다. 상기 VNF 모듈(121)은 다양한 가상 머신(virtual machine; VM)에 설치되어 네트워크 트래픽 처리를 수행하는 소프트웨어 모듈을 의미할 수 있으며, 각 VNF 모듈(121)은 설정된 가상화된 무선 액세스 네트워크 서비스 또는 그 일부를 수행할 수 있다. 예컨대, 상기 각 VNF 모듈(121)은 기지국(base station)에서 수행하는 적어도 하나의 무선 액세스 네트워크 기능을 수행할 수 있으며, 무선 네트워크의 구성 형태에 따라 RU(radio unit), DU(digital unit), CU(central/cloud unit), AU(access unit) 중 적어도 하나의 기능을 수행할 수 있다. 상기 VNF 모듈(121)의 기능에 대한 다양한 실시예들은 도 2a 및 도 2b에서 후술하기로 한다.According to various embodiments, the
상기 VNF 모듈(121)은 네트워크 장치 내에서의 특정 네트워크 기능을 기본적인 하드웨어와 분리함으로써, 범용 프로세서를 갖춘 전자 장치(또는 서버) 상에서 동적이며 일반적으로 실행할 수 있는 네트워크 기능 및 서비스를 제공할 수 있다. 상기 전자 장치(120)에 복수의 VNF 모듈(121)들이 배치될 경우, 상기 복수의 VNF 모듈(121)들은 서로 동일 또는 유사한 네트워크 기능을 수행하거나, 서로 상이한 네트워크 기능을 수행할 수 있다. 상기 VNF 모듈(121)은 수행하는 네트워크 기능들에 따라 적어도 하나의 다양한 네트워크 장비들을 대체할 수 있으며, 그 배치와 역할도 다양한 형태로 구성될 수 있다. 상기 VNF 모듈(121)에 대한 다양한 실시예들은 도 2a 및 도 2b에서 상세히 설명하기로 한다.The
다양한 실시예에 따라, 각 전자 장치(120)는 보안 모듈(122)을 포함할 수 있으며, 상기 보안 모듈(122)은 상기 전자 장치(120) 내에서 구성된 각 VNF 모듈(121)과 연동하여 적어도 하나의 보안 관련 기능을 수행할 수 있다. 예컨대, 상기 보안 모듈(122)은 특정 VNF 모듈(121)이 동작함에 따라 설정된 무선 네트워크 프로토콜에 기반하여 처리되는 무선 통신 데이터에 대해 이상 징후가 확인될 경우, 상기 VNF 모듈(121)과는 별도로 설치된 보안 에이전트(또는 보안 모듈(122))에 의해 상기 이상 징후가 확인된 무선 통신 데이터와 관련하여 예상되는 무선 접속 네트워크상의 보안 위협(예컨대, DoS(denial of service), DDoS(distributed DoS), 스푸핑(spoofing), 또는 보안 취약점(exploit) 공격을 판단할 수 있다.According to various embodiments, each
상기 보안 모듈(122)은 특정 무선 통신 데이터가 보안 위협이 되는 데이터로 판단되는 경우, 해당 무선 통신 데이터를 폐기시키도록 지시하거나, 무응답 처리하도록 지시하거나, 경고 처리하도록 지시하는 등 다양한 보안 정책들을 설정 또는 적용할 수 있다. 다양한 실시예에 따라, 상기 보안 모듈(122)은 특정 무선 통신 데이터가 보안 위협이 되는 데이터로 판단되거나 자체적으로 보안 위협 여부의 판단이 어려울 경우, 상기 보안 서버(110)의 보안 모듈(111)로 보안 관련 정보를 전송할 수 있다. 상기 보안 서버(110)의 보안 모듈(111)은 상기 전자 장치(120)의 보안 모듈(122)로부터 전송된 보안 관련 정보를 수신하고, 해당 무선 통신 데이터에 대한 추가 분석을 수행할 수 있다. 상기 보안 서버(110)의 보안 모듈(111)은 상기 해당 무선 통신 데이터에 대한 추가 분석 결과에 따라 새로운 보안 정책을 수립하거나, 기존 보안 정책을 업데이트한 후, 각 전자 장치(120)에 제공할 수 있다. 상기 보안 서버(110)의 보안 모듈(111) 및 각 전자 장치(120)의 보안 모듈(122)에서 수행되는 다양한 실시예들은 도 5a 내지 도 5d의 설명에서 후술하기로 한다.When it is determined that specific wireless communication data is a security threat, the
도 2a는 본 개시의 일 실시 예에 따른 무선 액세스 네트워크 시스템의 구성을 나타내는 도면이다. 도 2a를 참조하면, 다양한 실시예에 따른 무선 액세스 네트워크(radio access network; RAN) 시스템(200)은 RU(radio unit)(220), DU(digital unit)(240)의 기능을 포함하는 전자 장치(120a), CU(central/cloud unit)(260)의 기능을 포함하는 전자 장치(120b) 중 적어도 하나를 포함할 수 있다. 상기 RU(220)는 사용자 단말(210)과 무선 공간을 통해 서로 통신할 수 있다. 상기 사용자 단말(210)은 전자 장치(electronic device), 단말장치(terminal), ME(mobile equipment), UE(user equipment), UT(user terminal), SS(subscriber station), 무선기기(wireless device), 휴대기기(handheld device), AT(access terminal)로 불릴 수 있다. 또한, 사용자 단말(120)은 휴대폰, PDA(personal digital assistant), 스마트 폰(smart phone), 무선 모뎀(wireless modem), 노트북 등과 같이 통신 기능을 갖춘 기기가 될 수 있다.2A is a diagram illustrating a configuration of a radio access network system according to an embodiment of the present disclosure. Referring to FIG. 2A, a radio access network (RAN)
RU(220)는 송신 또는 수신되는 무선 통신 데이터에 대해 하위 물리 계층(PHY(physical)-L)에 대응하는 처리를 수행할 수 있다. 상기 하위 물리 계층에 대응하는 처리는 채널 코딩(channel coding), 안테나 매핑(antenna mapping), 또는 데이터 변조(data modulation) 중 적어도 하나의 처리를 포함할 수 있다. 상기 RU(220)는 RF(radio frequency) 모듈 또는 IF(inter frequency) 모듈을 포함할 수 있으며, 상기 하위 물리 계층 처리된 데이터를 DAC(digital to analog converter)에 의해 디지털 신호로부터 아날로그 신호로 변환한 후, IF 신호 또는 RF 신호로 변환할 수 있다. 상기 RF 신호로 변환된 데이터는 안테나를 통해 무선 공간으로 전송될 수 있다.The
DU(240)의 기능을 포함하는 전자 장치(120a)는 상기 RU(220)와 전송 네트워크(transport network)(230)를 통해 유선으로 통신할 수 있다. 상기 RU(220)와 DU(240)의 기능을 포함하는 전자 장치(120a) 사이는 프론트 홀(front haul)로 지칭될 수 있다. 상기 DU(240)는 상기 RU(220)로부터 하위 물리 계층 처리된 데이터를 수신하고, 상위 물리 계층(PHY-H) 처리를 수행할 수 있다. 상기 상위 물리 계층 처리는 다양하게 정의될 수 있으며, FEC(forward error correcting), 또는 심볼 매핑(symbol mapping) 등의 처리를 포함할 수 있다. 상기 DU(240)는 상기 상위 물리 계층 처리된 데이터를 MAC(media access control) 계층 처리 및 RLC(radio link control) 계층 처리할 수 있다.The
CU(260)의 기능을 포함하는 전자 장치(120b)는 상기 DU(240)의 기능을 포함하는 전자 장치(120a)와 전송 네트워크(250)를 통해 유선으로 통신할 수 있다. 상기 DU(240)의 기능을 포함하는 전자 장치(120a)와 CU(260)의 기능을 포함하는 전자 장치(120b) 사이는 미드 홀(mid haul)로 지칭될 수 있다. 상기 CU(260)는 상기 DU(240)로부터 RLC 계층 처리된 데이터를 수신하고, PDCP(packet data convergence protocol) 계층 처리 및 RRC(radio resource control) 계층 처리를 수행할 수 있다.The
다양한 실시예에 따라, 상기 DU(240) 또는 상기 CU(260)에서 처리되는 무선 통신 프로토콜 계층에 대응하는 처리는 범용 프로세서를 갖춘 전자 장치(또는 서버) 상에서 동적이며 일반적으로 실행할 수 있는 가상화된 소프트웨어 모듈(예컨대, VNF 모듈(121))의 형태로 구성될 수 있다.According to various embodiments, the processing corresponding to the wireless communication protocol layer processed by the
다양한 실시예에 따라, 상기 DU(240)의 기능을 포함하는 전자 장치(120a) 또는 상기 CU(260)의 기능을 포함하는 전자 장치(120b)는 각각 보안 모듈(241, 261)을 포함할 수 있으며, 상기 도 2a의 보안 모듈(241, 261)은 상기 도 1의 보안 모듈(122)에 대응할 수 있다. 상기 DU(240)의 기능을 포함하는 전자 장치(120a)에 포함된 보안 모듈(241)은 CU(260)의 기능을 포함하는 전자 장치(120b)에 포함된 보안 모듈(261)과 보안 관련 정보 또는 보안 관련 메시지를 서로 송수신할 수 있다. According to various embodiments, the
상기 CU(260)의 기능을 포함하는 전자 장치(120b)는 백 홀(back haul)이라 지칭되는 전송 네트워크(270)를 통해 보안 서버(110)와 통신할 수 있다. 다양한 실시예에 따라, 상기 보안 서버(110)는 보안 모듈(111)을 포함할 수 있다. 상기 보안 서버(110)에 포함된 보안 모듈(111)은 DU(240)의 기능을 포함하는 전자 장치(120a)에 포함된 보안 모듈(241) 또는 CU(260)의 기능을 포함하는 전자 장치(120b)에 포함된 보안 모듈(261)과 보안 관련 정보 또는 보안 관련 메시지를 송수신할 수 있다. 상기 보안 모듈(111, 241, 261)의 구체적인 기능과 동작에 대해서는 도 5a 내지 도 5d의 설명에서 상세히 설명하기로 한다.The
도 2b는 본 개시의 일 실시예에 따른 AU 및 CU의 무선 통신 프로토콜 구성 예를 나타내는 도면이다. 도 2b를 참조하면, 다양한 실시예에 따라 무선 통신 프로토콜의 각 계층들은 다양한 형태로 구분되어 처리될 수 있다. 다양한 실시예에 따라, CU(281)의 기능을 포함하는 전자 장치(280)는 보안 모듈(282)을 포함할 수 있으며, DU(291)의 기능을 포함하는 전자 장치(290)는 보안 모듈(292)을 포함할 수 있다. 상기 각 보안 모듈(282, 292)은 도 1의 보안 모듈(122)에 대응할 수 있다. 예컨대, 상기 도 2a에서 전술한 RU(220), DU(240), CU(260)의 각 무선 통신 프로토콜 처리는 도 2b에 도시된 AU(access unit)(291) 및 CU(281)와 같은 형태로 구성될 수 있다. 다양한 실시예에 따라, 도 2b에 도시된 바와 같이 무선 통신 프로토콜을 구성하는 PDCP 계층, RLC 계층, MAC 계층, PHY 계층은 각각 CU(281) 및 AU(291)에 분배될 수 있다.2B is a diagram illustrating an example of a configuration of a wireless communication protocol of an AU and a CU according to an embodiment of the present disclosure. Referring to FIG. 2B, each layer of a wireless communication protocol may be classified into various types and processed according to various embodiments. According to various embodiments, the
일 예로서, AU(291)는 RF 처리, PHY-L 계층 처리를 수행하고, CU(281)는 PHY-H 계층 처리, MAC 계층 처리, RLC 계층 처리, PDCP 계층 처리를 수행할 수 있으며, 이때 CU(281)와 AU(291) 간에 전송되는 데이터는 심볼(symbol) 또는 비트(bit)의 형태로 구성될 수 있다. 다른 예로서, AU(291)는 RF 처리, PHY 계층 처리를 수행하고, CU(281)는 MAC 계층 처리, RLC 계층 처리, PDCP 계층 처리를 수행할 수 있으며, 이때 CU(281)와 AU(291) 간에 전송되는 데이터는 MAC PDU(protocol data unit)의 형태로 구성될 수 있다. 또 다른 예로서, AU(291)는 RF 처리, PHY 계층 처리, MAC 계층 처리를 수행하고, CU(281)는 RLC 계층 처리, PDCP 계층 처리를 수행할 수 있으며, 이때 CU(281)와 AU(291) 간에 전송되는 데이터는 RLC PDU(protocol data unit)의 형태로 구성될 수 있다. 또 다른 예로서, AU(291)는 RF 처리, PHY 계층 처리, MAC 계층 처리, RLC 계층 처리를 수행하고, CU(281)는 PDCP 계층 처리를 수행할 수 있으며, 이때 CU(281)와 AU(291) 간에 전송되는 데이터는 PDCP PDU(protocol data unit)의 형태로 구성될 수 있다.As an example, the
다양한 실시예에 따라, 상기 CU(281) 또는 AU(291)에 포함된 각 무선 통신 프로토콜 계층의 처리는 가상화된 네트워크 기능 모듈(예컨대, 도 1의 VNF 모듈(121))에 의해 처리될 수 있다.According to various embodiments, processing of each wireless communication protocol layer included in the
이하, 도 3을 참조하여 상기 무선 통신 프로토콜을 구성하는 각 계층의 처리에 대해 상세히 설명하기로 한다.Hereinafter, processing of each layer constituting the wireless communication protocol will be described in detail with reference to FIG. 3.
도 3은 다양한 실시예에 따른 무선 통신 프로토콜 스택의 세부 구조를 나타내는 도면이다. 다양한 실시예에 따라 무선 통신 프로토콜 스택(300)은 PDCP 엔티티(packet data convergence protocol entity; 301), RLC 엔티티(radio link control entity; 302), MAC 엔티티(medium access control entity; 303) 및 PHY 엔티티(physical entity; 304)로 이루어질 수 있다.3 is a diagram illustrating a detailed structure of a wireless communication protocol stack according to various embodiments. According to various embodiments, the wireless
다양한 실시예에 따라, PDCP(packet data convergence protocol) 엔티티(301)는 IP 헤더 압축/복원 등의 동작을 담당할 수 있다. PDCP 엔티티(301)의 주요 기능은 하기와 같이 요약될 수 있다. 다양한 실시예에 따라, EN-DC(E-UTRA NR dual connectivity) 환경에서는 EN-DC 기능의 다양한 기능을 지원하기 위해 단말과 기지국의 LTE 프로토콜에 NR PDCP가 함께 포함될 수 있다. According to various embodiments, the packet data convergence protocol (PDCP)
- 헤더 압축 및 압축 해제 기능(header compression and decompression: ROHC only)-Header compression and decompression (ROHC only)
- 사용자 데이터 전송 기능(transfer of user data)-Transfer of user data
- 순차적 전달 기능(in-sequence delivery of upper layer PDUs at PDCP re-establishment procedure for RLC AM(acknowledged mode))-In-sequence delivery of upper layer PDUs at PDCP re-establishment procedure for RLC AM (acknowledged mode)
- 순서 재정렬 기능(for split bearers in DC (only support for RLC AM): PDCP PDU routing for transmission and PDCP PDU reordering for reception)-Order reordering function (for split bearers in DC (only support for RLC AM): PDCP PDU routing for transmission and PDCP PDU reordering for reception)
- 중복 탐지 기능(duplicate detection of lower layer SDU(service data unit)s at PDCP re-establishment procedure for RLC AM)-Duplicate detection of lower layer service data units (SDUs) at PDCP re-establishment procedure for RLC AM)
- 재전송 기능(Retransmission of PDCP SDUs at handover and, for split bearers in DC, of PDCP PDUs at PDCP data-recovery procedure, for RLC AM)-Retransmission of PDCP SDUs at handover and, for split bearers in DC, of PDCP PDUs at PDCP data-recovery procedure, for RLC AM
- 암호화 및 복호화 기능(ciphering and deciphering)-Encryption and decryption function (ciphering and deciphering)
- 타이머 기반 SDU 삭제 기능(timer-based SDU discard in uplink.)-Timer-based SDU discard in uplink.
다양한 실시예에 따라, 무선 링크 제어(radio link control, 이하 RLC라고 한다) 엔티티(302)는 PDCP PDU(packet data unit)를 적절한 크기로 재구성해서 ARQ 동작 등을 수행할 수 있다. RLC 엔티티(302)의 주요 기능은 하기와 같이 요약될 수 있다.According to various embodiments, the radio link control (hereinafter referred to as RLC)
- 데이터 전송 기능(transfer of upper layer PDUs)-Data transfer function (transfer of upper layer PDUs)
- ARQ 기능(error correction through ARQ (only for AM(acknowledged mode) data transfer))-ARQ function (error correction through ARQ (only for AM (acknowledged mode) data transfer))
- 접합, 분할, 재조립 기능(concatenation, segmentation and reassembly of RLC SDUs (only for UM(unacknowledged mode) and AM data transfer))-Concatenation, segmentation and reassembly of RLC SDUs (only for UM (unacknowledged mode) and AM data transfer)
- 재분할 기능(re-segmentation of RLC data PDUs (only for AM data transfer))-Re-segmentation of RLC data PDUs (only for AM data transfer)
- 순서 재정렬 기능(reordering of RLC data PDUs (only for UM and AM data transfer)-Reordering of RLC data PDUs (only for UM and AM data transfer)
- 중복 탐지 기능(duplicate detection (only for UM and AM data transfer))-Duplicate detection (only for UM and AM data transfer)
- 오류 탐지 기능(protocol error detection (only for AM data transfer))-Error detection function (protocol error detection (only for AM data transfer))
- RLC SDU 삭제 기능(RLC SDU discard (only for UM and AM data transfer))-RLC SDU discard function (RLC SDU discard (only for UM and AM data transfer))
- RLC 재수립 기능(RLC re-establishment)-RLC re-establishment
다양한 실시예에 따라, MAC 엔티티(303)은 한 단말에 구성된 여러 RLC 계층 장치들과 연결되며, RLC PDU들을 MAC PDU에 다중화하고 MAC PDU로부터 RLC PDU들을 역다중화하는 동작을 수행할 수 있다. MAC 엔티티(303)의 주요 기능은 하기와 같이 요약될 수 있다.According to various embodiments, the
- 맵핑 기능(mapping between logical channels and transport channels)-Mapping between logical channels and transport channels
- 다중화 및 역다중화 기능(multiplexing/demultiplexing of MAC SDUs belonging to one or different logical channels into/from transport blocks (TB) delivered to/from the physical layer on transport channels)-Multiplexing/demultiplexing of MAC SDUs belonging to one or different logical channels into/from transport blocks (TB) delivered to/from the physical layer on transport channels
- 스케쥴링 정보 보고 기능(scheduling information reporting)-Scheduling information reporting function
- HARQ 기능(error correction through HARQ)-HARQ function (error correction through HARQ)
- 논리 채널 간 우선 순위 조절 기능(priority handling between logical channels of one UE)-Priority handling between logical channels of one UE
- 단말간 우선 순위 조절 기능(priority handling between UEs by means of dynamic scheduling)-Priority handling between UEs by means of dynamic scheduling
- MBMS 서비스 확인 기능(MBMS service identification)-MBMS service identification
- 전송 포맷 선택 기능(transport format selection)-Transport format selection function
- 패딩 기능(padding)-Padding function
다양한 실시예에 따라, PHY 엔티티(304)는 상위 계층 데이터를 채널 코딩 및 변조하고, OFDM 심볼로 만들어서 무선 채널로 전송하거나, 무선 채널을 통해 수신한 OFDM 심볼을 복조하고 채널 디코딩해서 상위 계층으로 전달하는 동작을 수행할 수 있다.According to various embodiments, the
도 3을 참조하면, 다양한 실시예에 따른 무선 통신 프로토콜 스택(300)은, PDCP 엔티티(301), RLC 엔티티(302), MAC 엔티티(303) 및 PHY 엔티티(304)를 포함할 수 있다. PDCP 엔티티(301), RLC 엔티티(302), MAC 엔티티(303) 및 PHY 엔티티(304)는, LTE 시스템의 무선 프로토콜에 기반한 엔티티 이거나, 또는 NR 시스템의 무선 프로토콜에 기반한 엔티티일 수 있다. 예를 들어, 전자 장치가 LTE 기반으로 데이터를 송수신하는 경우에는, LTE 시스템의 무선 프로토콜에 기반한 PDCP 엔티티(301), RLC 엔티티(302), MAC 엔티티(303) 및 PHY 엔티티(304)를 설정할 수 있다. 예를 들어, 전자 장치가 NR 기반으로 데이터를 송수신하는 경우에는, NR 시스템의 무선 프로토콜에 기반한 PDCP 엔티티(301), RLC 엔티티(302), MAC 엔티티(303) 및 PHY 엔티티(304)를 설정할 수 있다. 예를 들어, 도 3에서와 같이, 전자 장치의 메모리(310)의 일부 논리 영역 또는 일부 물리 영역에는 상기 PDCP 엔티티(301), RLC 엔티티(302), MAC 엔티티(303) 및 PHY 엔티티(304)에 기반하여 처리되는 패킷 데이터들이 적어도 일시적으로 저장될 수 있다. 다양한 실시예에 따라, PDCP 엔티티(301)는 IP(internet protocol) 패킷(packet)들인 데이터(311, 312, 313)에 기반한 PDCP SDU(314, 315, 316) 각각에 PDCP 헤더(321, 323, 325)를 더 포함시켜, PDCP PDU(322, 324, 326)를 전달할 수 있다. LTE PDCP 엔티티가 전달하는 PDCP 헤더의 정보는 NR PDCP 엔티티가 전달하는 PDCP 헤더 정보와 상이할 수도 있다. 다양한 실시예에 따라, PDCP 버퍼(320)는 메모리(310) 내부에 지정된 논리적 영역 또는 물리적 영역에 구현될 수 있다. PDCP 버퍼(320)는 PDCP 엔티티(301)에 기반하여 PDCP SDU(314, 315, 316)를 수신하여 적어도 일시적으로 저장하고, 상기 PDCP SDU(314, 315, 316)에 PDCP 헤더(321, 323, 325)를 더 포함시켜, RLC 계층으로 PDCP PDU(322, 324, 326)를 전달할 수 있다. 다양한 실시예에 따라, RLC 엔티티(302)는, RLC SDU(322, 324, 326)를 재구성한 제1 데이터(332) 및 제2 데이터(335) 각각에 RLC 헤더(331, 334)를 추가하여, RLC PDU(333, 336)를 전달할 수 있다. LTE에 기반한 RLC 헤더 정보는 NR에 기반한 RLC 헤더 정보와 상이할 수도 있다.Referring to FIG. 3, a wireless
다양한 실시예에 따라, MAC 엔티티(302)는, 예를 들어 MAC SDU(333)에 MAC 헤더(341) 및 패딩(padding)(342)을 부가하여 MAC PDU(343)를 전달할 수 있으며, 이는 전송 블록(transport block)(351)으로 물리 계층(304)에서 처리될 수 있다. 전송 블록(351)은, 슬롯들(352, 353, 354, 355, 356)로 처리될 수 있다.According to various embodiments, the
다양한 실시예에 따라, 상기 도 3에 도시하지는 않았으나, 상기 메모리(310)는 RLC 계층 및 MAC 계층에 대해서도 각각 이에 대응하는 버퍼를 포함할 수 있다.According to various embodiments, although not illustrated in FIG. 3, the
도 4는 본 개시의 일 실시 예에 따른 전자 장치의 세부 구성을 나타내는 블록도이다. 도 4를 참조하면, 전자 장치(400)(예컨대, 도 1의 보안 서버(110) 또는 전자 장치(120)(또는 서버))는 프로세서(410), 메모리(420), 또는 통신 인터페이스(430)를 포함할 수 있다.4 is a block diagram illustrating a detailed configuration of an electronic device according to an embodiment of the present disclosure. Referring to FIG. 4, the electronic device 400 (eg, the
통신 인터페이스(430)는 적어도 하나의 외부 전자 장치와 통신을 수행하여, 다양한 정보(또는 데이터)를 송수신할 수 있는 하드웨어를 지칭할 수 있다. 상기 통신 인터페이스(430)는 TCP/IP(Transmission Control Protocol/Internet Protocol), UDP(User Datagram Protocol), HTTP(Hyper Text Transfer Protocol), HTTPS(Secure Hyper Text Transfer Protocol), FTP(File Transfer Protocol), SFTP(Secure File Transfer Protocol), MQTT(Message Queuing Telemetry Transport) 등의 통신 규약(프로토콜)을 이용하여 데이터를 송수신할 수 있으며, 이에 한정되는 것은 아니다.The
이를 위해, 상기 통신 인터페이스(430)는 유선 통신 또는 무선 통신을 통해 외부의 전자 장치와 네트워크로 연결될 수 있다. 이때, 네트워크는 영역 또는 규모에 따라 개인 통신망(PAN; Personal Area Network), 근거리 통신망(LAN; Local Area Network), 광역 통신망(WAN; Wide Area Network) 등일 수 있으며, 네트워크의 개방성에 따라 인트라넷(Intranet), 엑스트라넷(Extranet), 또는 인터넷(Internet) 등일 수 있다. To this end, the
여기에서, 무선 통신은 LTE(long-term evolution), LTE-A(LTE Advance), 5G(5th Generation) 이동통신, CDMA(code division multiple access), WCDMA(wideband CDMA), UMTS(universal mobile telecommunications system), WiBro(Wireless Broadband), GSM(Global System for Mobile Communications), DMA(Time Division Multiple Access), WiFi(Wi-Fi), Bluetooth, NFC(near field communication), Zigbee 등의 통신 방식 중 적어도 하나를 포함할 수 있다. 유선 통신은 이더넷(Ethernet), 광 네트워크(optical network), USB(Universal Serial Bus), 선더볼트(ThunderBolt), HDMI(High Definition Multimedia Interface), RS-232(Recommended Standard232), 전력선 통신 및 POTS(Plain Old Telephone Service) 등의 통신 방식 중 적어도 하나를 포함할 수 있다. 여기서, 통신 인터페이스(430)는 상술한 유무선 통신 방식에 따른 네트워크 인터페이스(Network Interface) 또는 네트워크 칩을 포함할 수 있다. Here, the wireless communication is LTE (LTE Advance), LTE-A (LTE Advance), 5G (5th Generation) mobile communication, CDMA (code division multiple access), WCDMA (wideband CDMA), UMTS (universal mobile telecommunications system). ), WiBro (Wireless Broadband), GSM (Global System for Mobile Communications), DMA (Time Division Multiple Access), WiFi (Wi-Fi), Bluetooth, NFC (near field communication), at least one of the communication methods such as Zigbee. Can include. Wired communication includes Ethernet, optical network, USB (Universal Serial Bus), ThunderBolt, HDMI (High Definition Multimedia Interface), RS-232 (Recommended Standard232), power line communication and POTS (Plain It may include at least one of communication methods such as Old Telephone Service). Here, the
메모리(420)는 프로세서(410) 등이 접근할 수 있도록 데이터 등의 정보를 전기 또는 자기 형태로 저장하는 하드웨어를 지칭할 수 있다. 이를 위해, 메모리(420)는 비휘발성 메모리, 휘발성 메모리, 플래시메모리(Flash Memory), 하드디스크 드라이브(HDD) 또는 솔리드 스테이트 드라이브(SSD), RAM, ROM 등 중에서 적어도 하나의 하드웨어로 구현될 수 있다. The
메모리(420)에는 전자 장치(400) 또는 프로세서(410)의 동작에 필요한 적어도 하나의 인스트럭션(instruction), 모듈 또는 데이터가 저장될 수 있다. 여기서, 인스트럭션은 전자 장치(400) 또는 프로세서(410)의 동작을 지시하는 부호 단위로서, 컴퓨터가 이해할 수 있는 언어인 기계어로 작성된 것일 수 있다. 모듈은 작업 단위의 특정 작업을 수행하는 일련의 인스트럭션의 집합체(instruction set)일 수 있다. 데이터는 문자, 수, 영상 등을 나타낼 수 있는 비트 또는 바이트 단위의 정보일 수 있다.At least one instruction, module, or data necessary for the operation of the
또한, 다양한 실시예에 따라 메모리(420)에는 후술하는 적어도 하나의 소프트웨어 모듈(예컨대, VNF 모듈(541, 542, 543, 544) 또는 보안 에이전트(550), 원격 보안 에이전트(510)))에 대응하는 프로그램 정보가 저장될 수 있다. 다양한 실시예에 따라, 메모리(420)에는 후술하는 실시예들에서 사용될 다양한 보안 관련 정보(예컨대, 이상 징후 정보, 보안 정책 정보 등))들이 저장될 수 있다. 여기서 상기 VNF 모듈은 전술한 바와 같이 가상 머신(virtual machine; VM)에 설치(또는 컨테이너(container) 방식으로 구현)되어 네트워크 트래픽 처리를 수행하는 소프트웨어 모듈을 의미할 수 있으며, 각 VNF 모듈은 설정된 가상화된 무선 액세스 네트워크 서비스 또는 그 일부를 수행할 수 있다. 상기 원격 보안 에이전트(510)은 전술한 VNF 모듈과 같이 가상 머신(virtual machine; VM)에 설치(또는 컨테이너(container) 방식으로 구현)되어 각 VNF 모듈의 보안과 관련된 기능을 처리할 수 있다.In addition, according to various embodiments, the
메모리(420)는 프로세서(410)에 의해 액세스되며, 프로세서(410)에 의해 인스트럭션, 모듈, 인공지능 모델 또는 데이터에 대한 독취/기록/수정/삭제/갱신 등이 수행될 수 있다.The
프로세서(410)는 하나 또는 복수의 프로세서로 구성될 수도 있으며, 프로세서(410)는 CPU(Central Processing Unit), AP(Application Processor) 등과 같은 범용 프로세서, GPU(Graphic Processing Unit), VPU(Vision Processing Unit) 등과 같은 그래픽 전용 프로세서, NPU(Neural Processing Unit)와 같은 인공지능 전용 프로세서 등으로 구현될 수 있다. 프로세서(410)는 전자 장치(400)의 전반적인 구성을 제어할 수 있다. 상기 프로세서(410)는 적어도 하나의 운영 체제(operating system; OS)에 기반하여 동작할 수 있으며, 특정 운영 체제에 한정되는 것은 아니다. 예컨대, 후술하는 설명에서는 상기 프로세서(410)가 유닉스 또는 리눅스 운영 체제에서 동작하는 것으로 설명하고 있으나, 본 문서의 실시예들이 이에 한정되는 것은 아니다.The
다양한 실시예에 따라, 프로세서(410)는 상기 메모리(420)에 저장된 각 VNF 모듈에 대응하는 프로그램 코드를 로딩하여 실행할 수 있다. 상기 VNF 모듈의 실행에 따라 상기 프로세서(410)는 설정된 가상화된 무선 액세스 네트워크 서비스 또는 그 일부를 수행할 수 있으며, 기지국에서 수행하는 적어도 하나의 무선 액세스 네트워크 기능을 수행할 수 있다.According to various embodiments, the
다양한 실시예 중 어느 하나에 따른 무선 접속 네트워크(radio access network) 기능을 수행하는 전자 장치(400)는 통신 인터페이스(430), 상기 통신 인터페이스와 작동적으로 연결된 프로세서(410), 및 상기 프로세서와 작동적으로 연결된 메모리(420)를 포함하고, 상기 메모리는, 실행 시에, 상기 프로세서가, 무선 접속 네트워크를 통해 전송되는 무선 통신 데이터를 상기 통신 인터페이스를 통해 수신하고, 무선 접속 네트워크의 기능을 가상화 한 적어도 하나의 제1 가상화 모듈에 의해, 상기 수신된 무선 통신 데이터를 무선 접속 네트워크 프로토콜에 기반하여 처리하고, 상기 적어도 하나의 제1 가상화 모듈에 의해, 상기 수신된 무선 통신 데이터 또는 상기 무선 통신 데이터의 처리 결과에 기초하여 이상 징후를 확인하고, 상기 적어도 하나의 제1 가상화 모듈에 의해, 상기 무선 통신 데이터와 관련된 정보를 제2 가상화 모듈에 전달하고, 상기 제2 가상화 모듈에 의해, 상기 이상 징후가 확인된 무선 통신 데이터와 관련된 정보를 기반으로 예상되는 무선 접속 네트워크 상의 보안 위협을 판단하도록 하는 인스트럭션들을 저장할 수 있다.The
다양한 실시예에 따라, 상기 적어도 하나의 제1 가상화 모듈은, 무선 네트워크 프로토콜에 기반하여 무선 통신 데이터를 처리하는 가상화 네트워크 기능(virtual network function; VNF) 모듈일 수 있다.According to various embodiments, the at least one first virtualization module may be a virtual network function (VNF) module that processes wireless communication data based on a wireless network protocol.
다양한 실시예에 따라, 상기 제2 가상화 모듈은, 상기 적어도 하나의 제1 가상화 모듈과 연동하여 상기 적어도 하나의 제1 가상화 모듈에 대한 보안과 관련된 기능을 처리하는 보안 에이전트(security agent; SA)일 수 있다.According to various embodiments, the second virtualization module is a security agent (SA) that interworks with the at least one first virtualization module to process a function related to security for the at least one first virtualization module. I can.
다양한 실시예에 따라, 상기 인스트럭션들은 상기 프로세서가, 상기 제1 가상화 모듈 내에서 실행되는 보안 모니터링(security monitoring; SM) 모듈(module)에 의해 상기 무선 통신 데이터와 관련된 보안 정보를 생성하도록 구성될 수 있다.According to various embodiments, the instructions may be configured such that the processor generates security information related to the wireless communication data by a security monitoring (SM) module executed in the first virtualization module. have.
다양한 실시예에 따라, 상기 제1 가상화 모듈은, PDCP(packet data convergence protocol entity) 계층 처리, RLC(radio link control entity) 계층 처리, MAC(medium access control entity) 계층 처리 또는 PHY(physical entity) 계층 처리 중 적어도 하나에 기반하여 상기 수신된 무선 통신 데이터를 처리할 수 있다.According to various embodiments, the first virtualization module includes packet data convergence protocol entity (PDCP) layer processing, radio link control entity (RLC) layer processing, medium access control entity (MAC) layer processing, or physical entity (PHY) layer. The received wireless communication data may be processed based on at least one of the processing.
다양한 실시예에 따라, 상기 예상되는 무선 접속 네트워크상의 보안 위협은, DoS(denial of service), DDoS(distributed DoS), 스푸핑(spoofing), 또는 보안 취약점(exploit) 공격 중 적어도 하나를 포함할 수 있다.According to various embodiments, the expected security threat on the wireless access network may include at least one of denial of service (DoS), distributed DoS (DDoS), spoofing, or security vulnerability attack. .
다양한 실시예에 따라, 상기 제2 가상화 모듈은, 상기 생성된 보안 정보에 기반하여, 상기 적어도 하나의 제1 가상화 모듈에 의해 처리된 무선 네트워크 계층보다 상위 계층의 데이터를 확인하여, 보안 위협을 판단할 수 있다.According to various embodiments, the second virtualization module, based on the generated security information, checks data of a layer higher than the wireless network layer processed by the at least one first virtualization module to determine a security threat. can do.
다양한 실시예에 따라, 상기 제2 가상화 모듈은, 상기 예상되는 무선 접속 네트워크상의 보안 위협이 판단되면, 상기 적어도 하나의 제1 가상화 모듈로 설정된 대응책을 전송할 수 있다.According to various embodiments of the present disclosure, when the expected security threat on the wireless access network is determined, the second virtualization module may transmit a countermeasure set to the at least one first virtualization module.
다양한 실시예에 따라, 상기 설정된 대응책은, 해당하는 무선 통신 데이터에 대한 폐기(drop) 처리, 무응답 처리 또는 경고(alert) 처리 중 적어도 하나를 포함할 수 있다.According to various embodiments, the set countermeasure may include at least one of a drop processing, a non-response processing, or an alert processing for corresponding wireless communication data.
다양한 실시예에 따라, 상기 제2 가상화 모듈은, 상기 생성된 보안 정보에 대응하는 무선 통신 데이터를 확인하여 보안 리포트를 생성하고, 상기 생성된 보안 리포트를 무선 접속 네트워크 기능을 수행하는 장비들의 보안을 관리하는 보안 서버로 전송하도록 처리할 수 있다.According to various embodiments, the second virtualization module generates a security report by checking wireless communication data corresponding to the generated security information, and uses the generated security report to secure security of devices performing a wireless access network function. It can be processed to be sent to a managed security server.
다양한 실시예에 따라, 상기 제2 가상화 모듈은, 상기 보안 서버로부터 상기 적어도 하나의 제1 가상화 모듈에 대응하는 보안 정책을 수신하고, 상기 수신된 보안 정책을 상기 적어도 하나의 제1 가상화 모듈 중 상기 보안 정책에 대응하는 제1 가상화 모듈에 적용할 수 있다.According to various embodiments, the second virtualization module receives a security policy corresponding to the at least one first virtualization module from the security server, and transmits the received security policy to the one of the at least one first virtualization module. It can be applied to the first virtualization module corresponding to the security policy.
다양한 실시예에 따라, 상기 제1 가상화 모듈은, 지정된 시간 내에 지정된 바이트 수 또는 지정된 패킷 수를 초과하는 데이터가 수신되거나, 무선 통신 데이터를 전송하는 단말이 지정된 숫자를 초과하거나, 상기 수신된 무선 통신 데이터의 페이로드(payload) 상에서 특정 무선 통신 프로토콜이 지정된 횟수 이상 확인될 경우, 이상 징후로 판단할 수 있다.According to various embodiments, the first virtualization module receives data exceeding a specified number of bytes or a specified number of packets within a specified time, a terminal transmitting wireless communication data exceeds a specified number, or the received wireless communication If a specific wireless communication protocol is checked more than a specified number of times on the data payload, it may be determined as an abnormal symptom.
다양한 실시예에 따라, 상기 제2 가상화 모듈은, 상기 수신된 무선 통신 데이터의 페이로드 정보를 확인하고, 단말의 식별정보, 무선 통신 프로토콜의 송신 또는 수신 횟수, 또는 암호화 여부 중 적어도 하나에 기반하여 무선 접속 네트워크상의 보안 위협을 판단할 수 있다.According to various embodiments, the second virtualization module checks the payload information of the received wireless communication data, and based on at least one of identification information of the terminal, the number of transmissions or receptions of the wireless communication protocol, or whether encryption or not. You can determine the security threats on the wireless access network.
다양한 실시예 중 어느 하나에 따른 무선 접속 네트워크(radio access network) 기능을 수행하는 시스템은, 무선 통신 데이터를 가상화된 무선 접속 네트워크 기능을 통하여 처리하고 이상 징후를 확인하여 상기 이상 징후를 나타내는 보안 정보를 전송하는 하나 이상의 무선 접속 네트워크 서버; 및 상기 하나 이상의 무선 접속 네트워크 서버에 전기적으로 연결되며, 상기 하나 이상의 무선 접속 네트워크 서버로부터 전송 받은 상기 보안 정보를 기반으로 예상되는 무선 접속 네트워크 상의 보안 위협을 판단하는 하나 이상의 보안 장치를 포함할 수 있다.A system performing a radio access network function according to any one of various embodiments, processes wireless communication data through a virtualized radio access network function, checks an anomaly, and provides security information indicating the anomaly. One or more wireless access network servers for transmitting; And one or more security devices that are electrically connected to the one or more wireless access network servers and determine an expected security threat on the wireless access network based on the security information transmitted from the one or more wireless access network servers. .
도 5a 내지 도 5d는 본 개시의 일 실시 예에 따른 보안 서버 및 전자 장치의 세부 구성을 나타내는 블록도이다. 도 5a를 참조하면, 보안 서버(110)는 원격 보안 에이전트(remote security agent; RSA)(510)(예컨대, 도 1의 보안 모듈(111))를 포함할 수 있다. 상기 보안 서버(110)는 후술하는 보안과 관련된 기능을 위해 별도로 구성된 서버일 수도 있으며, 다른 목적을 위한 서버 또는 범용 서버에 후술하는 보안과 관련된 기능이 포함된 서버일 수도 있다.5A to 5D are block diagrams illustrating detailed configurations of a security server and an electronic device according to an embodiment of the present disclosure. Referring to FIG. 5A, the
다양한 실시예에 따라, 상기 RSA(510)는 보안 스토리지(secure storage)(511), 서명 모듈(signer)(512), 정책 생성 모듈(policy generator)(513), 보안 모니터링(security monitoring; SM) 에이전트(514), 분석 모듈(packet analyzer)(515), 로그 수집기(log collector)(516)를 포함하여 구성될 수 있다.According to various embodiments, the
다양한 실시예에 따라, 전자 장치(120)는 가상 네트워크 기능(VNF) 관리자(manager)(530), 적어도 하나의 제1 가상화 모듈(예컨대, 적어도 하나의 VNF 모듈(제1 VNF 모듈(541), 제2 VNF 모듈(542), 제3 VNF 모듈(543))), 제2 가상화 모듈(예컨대, 보안 에이전트(security agent; SA)(550))을 포함할 수 있다.According to various embodiments, the
상기 각 VNF 모듈(541, 542, 543)은 SM 모듈(security monitoring module)(541a, 542a, 543a)을 포함할 수 있다. 또한, 다양한 실시예에 따라 상기 각 SM 모듈(541a, 542a, 543a)은 VNF 모듈(541, 542, 543) 내에서 소프트웨어 형태로 포함되어 상기 VNF 모듈(541, 542, 543)의 일부를 구성할 수 있다. 따라서 프로세서(410)가 메모리(420)에 저장된 각 VNF 모듈에 대응하는 프로그램 코드를 로딩할 때 SM 모듈(541a, 542a, 543a)은 프로그램 코드의 일부로서 로딩되어 실행될 수 있다. Each of the
상기 VNF 모듈(541, 542, 543) 내의 특정 무선 통신 네트워크 프로토콜(예컨대, DU(240), AU(291), CU(260, 281)에서 수행되는 각 무선 통신 프로토콜) 관련 기능이 수행될 때, 각 VNF 모듈(541, 542, 543) 내에 포함된 SM 모듈(541a, 542a, 543a)은 지정된 기능을 수행할 수 있다. When a specific wireless communication network protocol (e.g., each wireless communication protocol performed in the
다양한 실시예에 따르면, SM 모듈(541a, 542a, 543a)은 VNF 모듈(541, 542, 543) 내에서 상시 실행되거나, 필요에 따라 실행되는 프로세스로 구현될 수도 있다.According to various embodiments, the
다양한 실시예에 따라, VNF 모듈(541, 542, 543)에서 현재 처리되고 있는 데이터에 이상 징후가 확인될 경우, 해당 SM 모듈(541a, 542a, 543a)이 호출되어 상기 이상 징후와 관련된 정보를 보안 에이전트(550)로 전달할 수 있다. 또한, 상기 VNF 모듈(541, 542, 543)에서 처리되고 있는 데이터에 이상 징후가 확인될 경우 SM 모듈(541a, 542a, 543a)을 통해 상기 보안 에이전트(550)로 전달되는 정보는 다양하게 설정될 수 있다. 예컨대, 상기 전달되는 이상 징후와 관련된 정보는 이상 징후 정보, 이상 징후가 확인된 해당 데이터(또는 해당 패킷)에 관한 식별 정보(예컨대, 패킷 식별 번호), 또는 이상 징후가 확인된 해당 데이터(또는 패킷) 중 적어도 하나를 포함할 수 있다. According to various embodiments, when an abnormal symptom is identified in the data currently being processed by the
다양한 실시예에 따라, 상기 SM 모듈(541a, 542a, 543a)이 상기 보안 에이전트(550)로 정보를 전달하는 방법은 다양하게 구현될 수 있다. 예컨대, 상기 VNF 모듈(541, 542, 543)에서 처리되고 있는 데이터에 대해 이상 징후가 확인될 경우 SM 모듈(541a, 542a, 543a)이 호출되면, 상기 호출된 해당 SM 모듈(541a, 542a, 543a)의 동작에 따라 상기 확인된 이상 징후 정보, 이상 징후가 확인된 해당 데이터(또는 해당 패킷)에 관한 식별 정보(예컨대, 패킷 식별 번호), 또는 이상 징후가 확인된 해당 데이터(또는 패킷)를 보안 에이전트(550)로 전달할 수 있다. 다른 방법으로서, 상기 SM 모듈(541a, 542a, 543a)이 상시 실행된 프로세스인 경우 능동적으로 상기 VNF 모듈(541, 542, 543)이 처리하는 특정 무선 통신 네트워크 프로토콜을 후킹(hooking)하여 이상 징후를 확인하고, 상기 확인 결과에 따라 상기 이상 징후 정보, 이상 징후가 확인된 해당 데이터(또는 해당 패킷)에 관한 식별 정보(예컨대, 패킷 식별 번호), 또는 이상 징후가 확인된 해당 데이터(또는 패킷)를 보안 에이전트(550)로 전달할 수 있다.According to various embodiments, various methods of transmitting information by the
다양한 실시예에 따라, 상기 VNF 모듈(541, 542, 543)에서 처리되고 있는 데이터에 대한 이상 징후 판단 방법은 다양하게 설정될 수 있다. 예컨대, 상기 VNF 모듈(541, 542, 543)은 지정된 시간 내에 지정된 바이트 수 또는 지정된 패킷 수를 초과하는 데이터가 수신되거나, 무선 통신 데이터를 전송하는 단말이 지정된 숫자를 초과하거나, 상기 수신된 무선 통신 데이터의 페이로드(payload) 상에서 특정 무선 통신 프로토콜이 지정된 횟수 이상 확인될 경우, 이상 징후로 판단할 수 있다. 상기 이상 징후 판단 방법의 구체적인 실시예들은 도 6 내지 도 12의 설명에서 상세히 설명하기로 한다.According to various embodiments, a method of determining an abnormality symptom for data being processed by the
다양한 실시예에 따라, 보안 에이전트(550)는 상기 이상 징후가 있는 것으로 판단된 데이터와 관련된 정보를 VNF 모듈(541, 542, 543)로부터 전달 받을 수 있다. 상기 보안 에이전트(550)는 상기 이상 징후가 확인된 무선 통신 데이터와 관련된 정보를 기반으로 예상되는 무선 접속 네트워크 상의 보안 위협을 판단할 수 있다.According to various embodiments, the
다양한 실시예에 따라, 상기 보안 에이전트(550)는 상기 이상 징후가 있는 것으로 판단된 데이터의 페이로드 정보를 확인하고, 단말의 식별정보, 무선 통신 프로토콜의 송신 또는 수신 횟수, 또는 암호화 여부 중 적어도 하나에 기반하여 무선 접속 네트워크상의 보안 위협을 판단할 수 있다. 상기 보안 위협 판단 방법의 구체적인 실시예들은 도 6 내지 도 12의 설명에서 상세히 설명하기로 한다According to various embodiments, the
다양한 실시예에 따라, 상기 VNF 모듈(541, 542, 543)에서 처리되고 있는 데이터에 대한 이상 징후 판단 방법은 다양하게 설정될 수 있다. 다양한 실시예에 따라, VNF 모듈(541, 542, 543)은 이동 통신 프로토콜 표준에 위배되는 경우 이상 징후로 판단할 수 있다. 예를 들면, VNF 모듈(541, 542, 543)은 이동 통신 프로토콜 표준에 개시된 필수 보안 절차를 생략하고 다음 단계를 수행하는 경우, 정상적으로 상기 다음 단계에 해당하는 프로토콜에 대한 처리를 진행할 수 있으나, 표준에 개시된 필수 보안 절차가 생략되어 있으므로, 이동통신 프로토콜 표준을 따르지 않는 공격에 대한 이상 징후로 판단할 수 있다.According to various embodiments, a method of determining an abnormality symptom for data being processed by the
다양한 실시예에 따르면, 이동 통신 프로토콜 표준에 개시된 절차를 준수하고 있는 경우에도 특정 상황이 발생하면 이를 이상 징후로 판단할 수 있다. 예를 들면, 표준 절차를 준수하는 데이터가 무결성을 검증할 수 없거나, 암호화 되어 전송되어야 하는 메시지가 평문으로 전송 되거나, 데이터의 헤더 또는 페이로드의 필드 값이 예상되는 값이 아닌 경우, VNF 모듈(541, 542, 543)은 표준 절차를 준수하는 데이터일지라도 이상 징후를 나타내는 데이터로 판단할 수 있다.According to various embodiments, even when a procedure disclosed in a mobile communication protocol standard is followed, when a specific situation occurs, it may be determined as an abnormal symptom. For example, if data conforming to the standard procedure cannot verify integrity, a message to be encrypted and transmitted is transmitted in plain text, or if the field value of the header or payload of the data is not the expected value, the VNF module ( 541, 542, 543) can be determined as data indicating abnormal symptoms even if data complying with standard procedures.
다양한 실시예에 따라, 상기 이상 징후 판단 동작은 특정 무선 통신 프로토콜 패킷에 대해 미리 설정된 보안 검사(security check)일 수 있다. 하기 <표 1>은 상기 VNF 모듈(541, 542, 543)에서 처리되는 보안 검사를 통한 이상 징후 판단을 나타내는 예시이며, 본 문서의 다양한 실시예들이 이에 한정되는 것은 아니다. According to various embodiments, the abnormal symptom determination operation may be a preset security check for a specific wireless communication protocol packet. Table 1 below is an example of determining an abnormal symptom through a security check processed by the
다양한 실시예에 따라, 상기 VNF 모듈(541, 542, 543)에서 상기 <표 1>에 예시된 상기 항목별 보안 검사 결과, 이상 징후로 판단될 경우 SM 모듈(541a, 542a, 543a)을 호출하여 상기 이상 징후와 관련된 정보(예컨대, 이상 징후 정보, 이상 징후가 있는 것으로 판단한 데이터(또는 패킷)에 관한 식별 정보, 이상 징후가 확인된 해당 데이터(또는 패킷))를 보안 에이전트(550)로 전달할 수 있다. 다양한 실시 예에 따라, 상기 보안 에이전트(550)로 전달되는 상기 이상 징후와 관련된 정보(예컨대, 상기 이상 징후 정보, 이상 징후가 확인된 해당 데이터(또는 해당 패킷)에 관한 식별 정보(예컨대, 패킷 식별 번호), 또는 이상 징후가 확인된 해당 데이터(또는 패킷)) 는 본 문서에서 보안 로그(security log), 오류 로그(error log), 보안 데이터(security data) 또는 보안 정보(security information)로 지칭될 수 있다. According to various embodiments, the
상기 도 5a에는 전자 장치(120) 내에 3개의 VNF 모듈을 포함하는 것으로 도시되어 있으나, 다양한 실시예에 따라 하나의 VNF 모듈 또는 2개의 VNF 모듈을 포함할 수도 있으며, 4개 이상의 VNF 모듈을 포함할 수도 있다. 상기 각 VNF 모듈(541, 542, 543)은 도 1의 VNF 모듈(121)에 대응할 수 있다.5A shows that the
상기 각 VNF 모듈(541, 542, 543)은 전술한 바와 같이 다양한 가상 머신(virtual machine; VM) 또는 컨테이너(Container)에 설치되어 네트워크 트래픽 처리를 수행하는 소프트웨어 모듈을 의미할 수 있으며, 각 VNF 모듈(541, 542, 543)은 설정된 가상화된 무선 액세스 네트워크 서비스 또는 그 일부를 수행할 수 있다. 다양한 실시예에 따라, 각 VNF 모듈(541, 542, 543)은 기지국(base station)에서 수행하는 적어도 하나의 무선 액세스 네트워크 기능을 수행할 수 있으며, 무선 네트워크의 구성 형태에 따라 도 2a 또는 도 2b에 도시된 RU(radio unit), DU(digital unit), CU(central/cloud unit), 또는 AU(access unit) 중 적어도 하나의 기능을 수행할 수 있다.Each of the
상기 VNF 모듈(541, 542, 543)은 네트워크 장치 내에서의 특정 네트워크 기능을 기본적인 하드웨어와 분리함으로써, 범용 프로세서를 갖춘 전자 장치(또는 서버) 상에서 동적이며 일반적으로 실행할 수 있는 네트워크 기능 및 서비스를 제공할 수 있다. 상기 복수의 VNF 모듈(541, 542, 543)들은 서로 동일 또는 유사한 네트워크 기능을 수행하거나, 서로 상이한 네트워크 기능을 수행할 수 있다. 예컨대, 상기 복수의 VNF 모듈들(541, 542, 543)은 각각 수행하는 네트워크 기능들에 따라 다양한 장비(예컨대, 네트워크 관련 장비)를 대체할 수 있으며, 그 배치와 역할도 다양한 형태로 구성될 수 있다. 다양한 실시예에 따라, 상기 제1 VNF 모듈(541) 및 제2 VNF 모듈(542)은 AU(290)의 기능을 수행할 수 있고, 상기 제3 VNF 모듈(543)은 CU(280)의 기능을 수행할 수 있다. 다른 실시예에 따라, 상기 제1 VNF 모듈(541) 및 제2 VNF 모듈(542)은 DU(240)의 기능을 수행할 수 있고, 상기 제3 VNF 모듈(543)은 CU(260)의 기능을 수행할 수 있다. 본 개시의 다양한 실시예들은 이에 한정되지 않고 다양한 조합들로 구성될 수 있다.The
상기 보안 에이전트(550)는 SM(security monitoring) 에이전트(551), 보안 스토리지(secure storage)(552), 분석 모듈(packet analyzer)(553), 서명 모듈(signer)(554)을 포함할 수 있으며, 다양한 실시예에 따라 보안과 관련된 각종 기능들을 수행할 수 있다.The
상기 전자 장치(120)에 포함된 각 모듈들(예컨대, VNF 관리자(530), VNF 모듈(541, 542, 543), 보안 에이전트(550))에 대한 호스트(560)의 역할을 하는 커널(kernel)은 공유 메모리(561), LSM(linux security module)(562), 데몬 인증 모듈(daemon verifier)(563), 커뮤니케이터(communicator)(564), 접속 제어 모듈(access controller)(565)을 포함할 수 있다.A kernel serving as a
이하, 다양한 실시예에 따라 전술한 각 기능 블록들에 의해 수행되는 보안 관련 절차들에 대해 도 5a 내지 도 5d를 참조하여 상세히 설명한다.Hereinafter, security related procedures performed by each of the above-described functional blocks according to various embodiments will be described in detail with reference to FIGS. 5A to 5D.
도 5a를 참조하면, 각 VNF 모듈(541, 542, 543)이 특정 무선 통신 네트워크 프로토콜에 따른 처리를 수행할 때, 각 VNF 모듈(541, 542, 543) 내에 포함된 SM 모듈(541a, 542a, 543a)은 지정된 기능을 수행할 수 있다. 다양한 실시예에 따라, 특정 VNF 모듈(541, 542, 543)에서 처리 중인 데이터에 대해 이상 징후가 확인되면 해당 SM 모듈(541a, 542a, 543a)을 호출하여, 상기 이상 징후와 관련된 정보(보안 정보(security information))(예컨대, 이상 징후 정보, 이상 징후가 확인된 데이터(또는 패킷), 또는 이상 징후가 있는 것으로 판단한 데이터(또는 패킷)에 관한 식별 정보)를 보안 에이전트(550)로 통보할 수 있다. 다른 방법으로서, SM 모듈(541a, 542a, 543a)이 상기 특정 VNF 모듈(541, 542, 543) 내에서 처리 중인 데이터(예컨대, 무선 통신 네트워크 프로토콜 관련 데이터)를 후킹(hooking)하여 직접 이상 징후를 확인할 수도 있다. 또한 상기 처리 중인 데이터에 대한 이상 징후 확인은 특정 VNF 모듈(541, 542, 543)이 처리하는 해당 데이터(예컨대, PDU(protocol data unit))의 헤더 또는 페이로드에 대해 보안 검사(security check)를 수행함으로써 확인할 수 있다. 예컨대, VNF 모듈(541, 542, 543) 또는 SM 모듈(541a, 542a, 543a)은 해당 데이터의 PDU의 헤더 검사 결과 시퀀스 번호(sequence number)에 오류가 발생할 경우, 해당 데이터에 이상 징후가 있는 것으로 판단할 수 있으며, 본 개시의 다양한 실시예들은 이에 한정되지 않는다. 상기 VNF 모듈(541, 542, 543) 또는 SM 모듈(541a, 542a, 543a)을 통한 이상 징후 확인과 관련한 다양한 실시예들에 대해서는 각 무선 통신 프로토콜 별로 상세히 후술하기로 한다.Referring to FIG. 5A, when each
다양한 실시예에 따라, 특정 VNF 모듈(541, 542, 543) 내에서 현재 처리 중인 데이터에 이상 징후가 있는 것으로 확인되면, 상기 SM 모듈(541a, 542a, 543a)은 보안 에이전트(550)의 SM 에이전트(551)로 보안 정보를 전달할 수 있다. 다양한 실시예에 따라, 상기 이상 징후 확인 시 상기 SM 모듈(541a, 542a, 543a)은 상기 SM 에이전트(550)로 이상 징후 정보 또는 이상 징후가 확인된 해당 데이터(또는 해당 패킷)에 관한 식별 정보 만을 전달한 후, 상기 보안 에이전트(550)가 해당 데이터 또는 패킷에 관한 식별 정보를 이용하여 상기 해당 이상 징후가 확인된 데이터 또는 패킷을 직접 확인하도록 할 수 있다. 다양한 실시예에 따라, 상기 이상 징후 확인 시 상기 SM 모듈(541a, 542a, 543a)은 상기 SM 에이전트(550)로 상기 이상 징후가 확인된 데이터 또는 패킷을 직접 전달할 수도 있다.According to various embodiments, if it is determined that there is an abnormality in the data currently being processed in a
상기 SM 에이전트(551)에서 상기 SM 모듈(541a, 542a, 543a)로부터 상기 이상 징후 정보, 이상 징후가 확인된 데이터에 관한 식별 정보 또는 이상 징후가 확인된 데이터(또는 해당 패킷)를 전달받으면, 상기 보안 에이전트(550)는 분석 모듈(553)을 통해 해당 데이터(또는 해당 패킷)를 추가로 분석할 수 있다. 다양한 실시예에 따라, 상기 분석 모듈(553)은 상기 이상 징후가 확인된 데이터를 처리한 해당 VNF 모듈(541, 542, 543)이 처리하는 통신 프로토콜 계층까지 분석할 수도 있으며, 상기 VNF 모듈(541, 542, 543)이 처리하는 통신 프로토콜 계층 보다 상위의 통신 프로토콜 계층까지 분석할 수도 있다. 예컨대, 상기 VNF 모듈(541, 542, 543)에서 MAC 계층 프로토콜 데이터 처리 중 해당 데이터(예컨대, MAC PDU)에 대해 이상 징후가 확인되면, 상기 보안 에이전트(550)의 분석 모듈(553)은 상기 이상 징후가 확인된 해당 데이터에 대해 MAC 계층에 대한 분석을 추가로 할 수도 있으며, 보다 상위 계층인 RLC 계층 또는 PDCP 계층 또는 RRC 계층의 데이터까지 분석할 수도 있다. 다양한 실시예에 따라, 상기 분석 모듈(553)에서 상기 VNF 모듈(541, 542, 543)보다 상위 계층의 데이터를 분석하고자 할 경우, 외부 전자 장치 또는 다른 VNF 모듈로부터 상기 상위 계층의 데이터를 분석하기 위한 인증 키(key) 또는 복호화 키를 수신하여 분석할 수도 있다.When the
상기 분석 모듈(553)은 데이터 분석을 통해 해당 데이터에 의해 예상 가능한 공격 또는 보안 위협을 판단할 수 있다. 예컨대, 상기 분석 모듈(553)에서 판단하는 예상 가능한 공격은 DoS(denial of service), DDoS(distributed DoS), 스푸핑(spoofing), 또는 보안 취약점(exploit) 공격 중 적어도 하나를 포함할 수 있다. 상기 분석 모듈(553)에 의해 예상 가능한 공격 또는 보안 위협을 판단하는 상세한 실시예들은 도 6 내지 도 12의 설명에서 후술하기로 한다.The
다양한 실시예에 따라, 특정 VNF 모듈(541, 542, 543)에서 처리 중인 데이터에 대해 이상 징후가 확인되면, 상기 특정 VNF 모듈(541, 542, 543)은 이상 징후에 대한 구체적인 확인 결과를 상기 보안 에이전트(550)의 분석 모듈(553)로 전송할 수 있다. 예컨대, 특정 VNF 모듈(541, 542, 543)에서 처리 중인 데이터가 유효하지 않는 시퀀스 번호를 포함할 경우, 상기 특정 VNF 모듈(541, 542, 543)은 상기 이상 징후 확인 결과에 따라 시퀀스 번호가 유효하지 않음을 나타내는 정보, 시퀀스 번호 등의 구체적인 확인 결과를 상기 보안 에이전트(550)의 분석 모듈(553)로 전송할 수 있다. 상기 보안 에이전트(550)는 상기 구체적인 확인 결과를 수신함에 따라 해당 데이터에 대한 이상 징후뿐만 아니라 구체적인 이상 징후 관련 정보를 확인할 수 있다. 상기 분석 모듈(553)은 상기 특정 VNF 모듈(541, 542, 543)로부터 수신된 상기 이상 징후 확인에 따른 구체적인 확인 결과에 기반하여 보안 위협 여부에 대한 신속한 판단을 할 수 있다.According to various embodiments, when an abnormality symptom is confirmed for data being processed by a
다양한 실시예에 따라, 상기 분석 모듈(553)에 의해 보안 위협 여부 또는 예상 가능한 공격이 판단되면, 상기 판단 결과에 기반하여 미리 설정된 대응책 또는 보안 정책을 적용할 수 있다. 예컨대, 상기 SM 에이전트(551)는 상기 이상 징후가 확인된 해당 데이터(또는 패킷)에 대해 상기 보안 정책을 적용하도록, 해당 VNF 모듈(541, 542, 543)로 상기 설정된 보안 정책과 관련된 정보를 전송할 수 있다. 다양한 실시예에 따라, 상기 설정된 보안 정책은, 해당 무선 통신 데이터 또는 해당 패킷에 대한 폐기(drop) 처리, 무응답 처리 또는 경고(alert) 처리 중 적어도 하나를 포함할 수 있다. According to various embodiments, when a security threat or a predictable attack is determined by the
다양한 실시예에 따라, 상기 SM 에이전트(551)는 상기 분석 모듈(553)의 분석 결과에 따라 해당 노드(예컨대, 전자 장치(120))의 정보만으로는 공격 탐지가 가능하지 않다고 판단하거나 공격이 의심되어 추가 확인이 필요하다고 판단할 경우 상기 해당 데이터를 보안 서버(110)의 원격 보안 에이전트(510)로 전송하여 추가 분석을 요청할 수 있다.According to various embodiments, the
전술한 바와 같이, 전자 장치(120) 내에서 보안 에이전트(550)를 적어도 하나의 VNF 모듈(541, 542, 543)과는 별도의 가상화 모듈로 구성함으로써, 상기 VNF 모듈(541, 542, 543)에 대한 보안 관련 처리를 보다 효율적으로 수행할 수 있다. 예컨대, 상기 적어도 하나의 VNF 모듈(541, 542, 543)은 무선 통신 프로토콜에 따른 처리에만 집중하고, 보안과 관련된 추가 동작들은 보안 에이전트(550)에서 별도로 처리되도록 함으로써 무선 통신 프로토콜 처리와 보안 관련 처리의 효율을 동시에 높일 수 있으며, 상기 전자 장치(120) 내에서의 자원(resource) 관리를 효율적으로 운용할 수 있다. 다양한 실시예에 따라, 전자 장치(120) 내에서 적어도 하나의 VNF 모듈(541, 542, 543)을 보안 에이전트(550)와 별도의 가상화 모듈로 구성함으로써 상기 보안 에이전트(550)의 기능을 업데이트하고자 할 경우, 상기 적어도 하나의 VNF 모듈(541, 542, 543)의 동작을 유지시킨 상태에서 상기 보안 에이전트(550)의 기능을 업데이트할 수 있다. 이하, 상기 전자 장치(120)에서 수행되는 전술한 보안 관련 절차를 커널(560)과 연동하여 보다 상세히 설명한다.As described above, by configuring the
먼저, 도 5a를 참조하면, VNF 관리자(530)는 각 VNF 모듈(541, 542, 543) 또는 보안 에이전트(550)를 관리하며. 상기 VNF 관리자(530)의 관리 기능으로는 각 VNF 모듈(541, 542, 543) 또는 보안 에이전트(550)의 설치, 삭제, 업데이트 등의 기능을 포함할 수 있다. 다양한 실시예에 따라, 상기 VNF 관리자(530)는 보안 에이전트(550)가 항상 동작하여 보안 관련 기능을 수행할 수 있도록 설정(도 5a의 ①)할 수 있다.First, referring to FIG. 5A, the
다양한 실시예에 따라, 커널(560)에는 데몬 인증 모듈(563), 커뮤니케이터(564), 접속 제어 모듈(565)이 설치되어 동작하도록 설정(도 5a의 ②)될 수 있다. 상기 각 VNF 모듈(541, 542, 543)이 상기 전자 장치(120) 내에 설치될 때, 해당 SM 모듈(541a, 542a, 543a)이 상기 각 VNF 모듈(541, 542, 543) 내에서 포함되도록 설정(도 5a의 ③)될 수 있다. 이때, 상기 각 SM 모듈(541a, 542a, 543a)을 포함하는 상기 각 VNF 모듈(541, 542, 543)의 가상화 이미지에 대한 바이너리(binary) 위치 정보 및 해쉬(hash) 값이 데몬 인증 모듈(563)에 의해 보안 에이전트(550)의 보안 스토리지(552) 내에 저장될 수 있다.(도 5a의 ④)According to various embodiments, a
다양한 실시예에 따라, 상기 접속 제어 모듈(565)은 모든 VNF 모듈(541, 542, 543)에 대해 커널(560)에 포함된 공유 메모리(561)로의 쓰기(write) 권한을 부여할 수 있다.(도 5a의 ⑤) 커뮤니케이터(564)는 LSM(562)을 모니 터링하도록 설정되어 LSM(562)이 동작하는 것을 확인하여 필요한 정보를 얻을 수 있다. (도 5a의 ⑥) 다양한 실시예에 따라, 특정 VNF 모듈(541, 542, 543)에서 이상 징후가 확인되어 해당 SM 모듈(541a, 542a, 543a)이 호출되고 상기 공유 메모리(561)에 상기 이상 징후와 관련된 정보(보안 정보)가 기록되면, 상기 공유 메모리(561)의 변화(읽기/쓰기)를 LSM(562)이 탐지하면, 상기 커뮤니케이터(564)는 상기 LSM(562)을 모니터링하여 상기 이상 징후와 관련된 정보를 보안 에이전트(550)로 전달할 수 있다.According to various embodiments, the
보다 구체적으로, 도 5b를 참조하면, 각 VNF 모듈(541, 542, 543)에서 특정 무선 통신 네트워크 프로토콜에 따른 처리를 수행할 때, 각 VNF 모듈(541, 542, 543) 내에 포함된 SM 모듈(541a, 542a, 543a)은 지정된 기능을 수행할 수 있다. 상기 VNF 모듈(541, 542, 543) 내에 설치된 해당 SM 모듈(541a, 542a, 543a)이 실행되면, 상기 데몬 인증 모듈(563)를 통해 다양한 방식(예컨데 Hash 검증, 인증서 등)으로 각 SM 모듈(541a, 542a, 543a)에 대한 무결성이 검증될 수 있다.(도 5b의 ①) 상기 각 VNF 모듈(541, 542, 543)이 동작하고, 특정 VNF 모듈에서 이상 징후가 확인되면, 해당 SM 모듈(541a, 542a, 543a)을 통해 공유 메모리(561)에 이상 징후와 관련된 정보가 기록될 수 있다.(도 5b의 ②) 접속 제어 모듈(565)은 기록된 이상 징후와 관련된 정보가 변경되는 것을 막기 위하여 각 VNF 모듈의 공유 메모리(561)에 대한 쓰기 권한을 회수할 수 있다.(도 5b의 ③) 커뮤니케이터(564)는 LSM(562)을 모니터링하여 해당 SM 모듈(541a, 542a, 543a)을 포함하는 VNF 모듈(541, 542, 543)의 위치 정보 및 이상 징후와 관련된 정보를 SM 에이전트(551)에 전달할 수 있다.(도 5b의 ④) 상기 SM 에이전트(551)에서는 상기 LSM(562)을 통해 전달받은 해당 SM 모듈(541a, 542a, 543a)을 포함하는 VNF 모듈(541, 542, 543)의 위치 정보에 기반하여 해당 VNF 모듈(541, 542, 543)에 대한 인증을 수행하고, 정상 인증될 경우 상기 함께 수신된 이상 징후와 관련된 정보를 보안 스토리지(552)에 저장할 수 있다.(도 5b의 ⑤) 접속 제어 모듈(565)은 각 VNF 모듈(541, 542, 543)의 공유 메모리(561)에 대한 쓰기 권한을 재부여할 수 있다.(도 5b의 ⑥)More specifically, referring to FIG. 5B, when each
다양한 실시예에 따라, 상기 SM 에이전트(551)는 상기 수신된 이상 징후와 관련된 정보를 분석 모듈(553)에 전송할 수 있다. 상기 분석 모듈(553)은 상기 SM 에이전트(551)로부터 수신된 이상 징후와 관련된 정보에 기반하여 보안 위협을 판단하고, 상기 보안 위협에 대응하는 보안 정책(security policy) 정보를 생성하여 상기 SM 에이전트(551)로 전송할 수 있다. (도 5b의 ⑦) 상기 SM 에이전트(551)는 상기 분석 모듈(553)로부터 수신된 보안 정책 정보에 기반하여 해당 VNF 모듈(541, 542, 543)에 새로운 보안 정책을 적용하도록 처리할 수 있다.(도 5b의 ⑧) 다양한 실시예에 따라 상기 SM 에이전트(551)가 해당 VNF 모듈(541, 542, 543)에 새로운 보안 정책을 적용하기 위하여 VNF 관리자(530)을 통하여 해당 VNF 모듈(541, 542, 543)에 새로운 보안 정책을 전달할 수 있다. 또한 상기 SM 에이전트(551)은 각 VNF 모듈(541, 542, 543)이 이상징후 관련 정보(보안정보)를 전달한 것과 동일한 방식으로 공유 메모리(561), LSM(562), 커뮤니케이터(564) 또는 접속 제어모듈(565) 중 적어도 하나 이상의 조합을 통해 새로운 보안 정책을 전달 할 수 있다. According to various embodiments, the
다음으로, 도 5c를 참조하여, 전자 장치(120)의 보안 에이전트(550)에서 보안 리포트(security report)를 보안 서버(110)로 전송하는 절차를 상세히 설명한다. 상기 도 5c를 참조하면, 전자 장치(120)의 보안 에이전트(550)에 포함된 SM 에이전트(551)와 보안 서버(110)의 원격 보안 에이전트(510)에 포함된 SM 에이전트(514)는 상호 인증 가능한 인증서(certification)와 개인 키(private key)를 각각 보안 스토리지(552, 511)에 저장할 수 있다.(도 5c의 ①) 상기 보안 에이전트(550)의 SM 에이전트(551)는 상기 보안 스토리지(552)에 저장된 이상 징후와 관련된 정보를 각 VNF 모듈(541, 542, 543) 별로 분류하여 보안 리포트를 생성하고, 상기 생성된 보안 리포트를 서명 모듈(554)로 전달할 수 있다.(도 5c의 ②) 서명 모듈(554)에서는 보안 스토리지(552) 내에 저장된 키(key)를 이용하여 상기 보안 리포트에 서명할 수 있다.(도 5c의 ③) 상기 보안 에이전트(550)는 SM 에이전트(551)를 통해 상기 서명된 보안 리포트를 원격 보안 에이전트(510)의 SM 에이전트(514)로 전달할 수 있다.(도 5c의 ④)Next, a procedure of transmitting a security report to the
다음으로, 도 5d를 참조하여, 보안 서버(110)의 원격 보안 에이전트(510)에서 보안 정책(security policy)을 생성하여 전자 장치(120)로 전송하고, 이를 각 VNF 모듈(541, 542, 543)에 적용하는 절차를 상세히 설명한다. 상기 도 5d를 참조하면, 원격 보안 에이전트(510)의 SM 에이전트(514)는 상기 전자 장치(120)의 SM 에이전트(551)로부터 전송된 보안 리포트를 로그 수집기(516)로 전달할 수 있다.(도 5d의 ①) 상기 로그 수집기(516)는 상기 SM 에이전트(551)로부터 수신된 보안 리포트를 서명 모듈(512)로 전송할 수 있다. 상기 서명 모듈(512)은 보안 스토리지(511)에 저장된 서명 값을 확인하여 상기 보안 리포트에 대한 인증 처리를 한 후, 인증 결과를 로그 수집기(516)로 전송할 수 있다.(도 5d의 ②) 다양한 실시예에 따라, 상기 로그 수집기(516)는 상기 보안 리포트가 정상적으로 인증된 경우, 상기 인증된 보안 리포트를 상기 SM 에이전트(514)로 전송할 수 있다. 상기 SM 에이전트(514)는 상기 정상 인증 처리된 상기 보안 리포트를 정책 생성 모듈(513)로 전달하고, 상기 정책 생성 모듈(513)은 분석 모듈(515)을 통해 보안 위협 여부에 대한 분석을 수행할 수 있다. 상기 정책 생성 모듈(513)은 상기 분석 모듈(515)의 분석 결과에 따라 각 VNF 모듈(541, 542, 543)별로 적용될 새로운 보안 정책 정보를 생성할 수 있다.(도 5d의 ③) 상기 정책 생성 모듈(513)은 상기 생성된 새로운 보안 정책 정보를 서명 모듈(512)로 전달할 수 있다. 상기 서명 모듈(512)은 상기 정책 생성 모듈(513)에 의해 생성된 새로운 보안 정책 정보에 대해 상기 보안 스토리지(511)에 저장된 키를 이용하여 서명한 후 서명된 보안 정책 정보를 정책 생성 모듈(513)로 전송할 수 있다.(도 5d의 ④) 상기 정책 생성 모듈(513)은 상기 서명된 보안 정책 정보를 상기 SM 에이전트(514)로 전송할 수 있다. 상기 원격 보안 에이전트(510)는 상기 SM 에이전트(514)를 통해 상기 서명된 새로운 보안 정책 정보를 상기 전자 장치(120)의 SM 에이전트(551)로 전달할 수 있다.(도 5d의 ⑤) 상기 새로운 보안 정책 정보를 수신한 보안 에이전트(550)의 SM 에이전트(551)는 상기 새로운 보안 정책 정보를 서명 모듈(554)로 전송할 수 있다. 상기 서명 모듈(554)은 보안 스토리지(552)에 저장된 키를 이용하여 서명을 확인함으로써 인증하고, 인증 결과를 SM 에이전트(551)로 전송할 수 있다.(도 5d의 ⑥) 상기 SM 에이전트(551)는 정상 인증된 새로운 보안 정책을 각 VNF 모듈(541, 542, 543) 별로 구분한 후, 해당 VNF 모듈(541, 542, 543)에 새로운 보안 정책을 적용하도록 처리할 수 있다.(도 5d의 ⑦)Next, referring to FIG. 5D, a security policy is generated by the
상기 보안 서버(110)의 원격 보안 에이전트(510)에서 생성하여 각 VNF 모듈(541, 542, 543)에 적용하는 보안 정책들의 구체적인 예는 도 13 및 도 14에서 상세히 설명하기로 한다.Specific examples of security policies generated by the
다양한 실시예에 따라, 상기 도 5a 내지 도 5d에 도시된 복수의 VNF 모듈들(541, 542, 543)은 서로 다른 전자 장치에 포함되도록 구성할 수도 있다. 예컨대, 상기 제1 VNF 모듈(541)은 제1 전자 장치 내에 포함되는 적어도 하나의 VNF 모듈로 구성하고, 상기 제2 VNF 모듈(542)은 상기 제1 전자 장치와는 별도로 구성된 제2 전자 장치 내에 포함되는 적어도 하나의 VNF 모듈로 구성할 수 있다.According to various embodiments, the plurality of
또한, 다양한 실시예에 따라, 상기 도 5a 내지 도 5d에 도시된 보안 에이전트(550)는 상기 복수의 VNF 모듈들(541, 542, 543)과 서로 다른 전자 장치에 포함되도록 구성할 수도 있다. 예컨대, 상기 복수의 VNF 모듈들(541, 542, 544)은 제1 전자 장치 내에 포함되는 적어도 하나의 VNF 모듈로 구성하고, 상기 보안 에이전트(550)는 상기 제1 전자 장치와는 별도로 구성된 제2 전자 장치 내에 포함되는 적어도 하나의 가상화 모듈로 구성할 수 있다.In addition, according to various embodiments, the
이와 같이 구성되는 경우, 상기 제1 전자 장치(예컨대, 무선 접속 네트워크 서버) 내에 포함된 상기 복수의 VNF 모듈들(541, 542, 543)은 무선 통신 데이터를 가상화된 무선 접속 네트워크 기능을 통하여 처리할 수 있다. 상기 제1 전자 장치(예컨대, 무선 접속 네트워크 서버) 내에 포함된 상기 복수의 VNF 모듈들(541, 542, 543)은 이상 징후를 확인하여 상기 이상 징후를 나타내는 보안 정보를 상기 제1 전자 장치와는 별도로 구성된 제2 전자 장치(예컨대, 보안 장치 또는 보안 서버)로 전송할 수 있다. 상기 제2 전자 장치 내에 포함된 보안 에이전트는 상기 제1 전자 장치의 상기 복수의 VNF 모듈들(541, 542, 543)로부터 보안 정보를 수신하고, 상기 수신된 보안 정보를 기반으로 예상되는 무선 접속 네트워크 상의 보안 위협을 판단할 수 있다.When configured in this way, the plurality of
다양한 실시예에 따라, 전술한 도 5a에서 제1 VNF 모듈(541)이 DU의 기능을 수행하는 모듈일 경우(예컨대, DU 장비의 기능을 대체하도록 가상화한 모듈일 경우), PHY-H, MAC, RLC 계층 프로토콜 데이터 처리를 수행할 수 있다. 예컨대, 도 5a에서 전자 장치(120)의 제1 VNF 모듈(541)은 도 3에서 전술한 MAC 계층 프로토콜 데이터 처리들 중 적어도 하나를 수행할 수 있다.According to various embodiments, when the
도 6 내지 도 9는 본 개시의 일 실시 예에 따른 MAC 계층에서의 시나리오를 나타내는 도면이다. MAC 계층은 특정 셀 내에서 기지국(예컨대, eNB 또는 gNB)과 단말간의 무선 자원 접속(radio resource access)을 관리하는 역할을 제공할 수 있다. 다양한 실시예에 따라, 셀 내의 단말들은 C-RNTI(cell radio network temporary identity)를 통해서 구분되며, 상기 C-RNTI는 MAC 계층에서 관리될 수 있다. 예컨대, 상기 C-RNTI는 RRC 접속을 위한 식별자로서 스케줄링을 위해 사용되는 고유한 UE 식별자일 수 있다.6 to 9 are diagrams illustrating scenarios in a MAC layer according to an embodiment of the present disclosure. The MAC layer may provide a role of managing radio resource access between a base station (eg, eNB or gNB) and a terminal within a specific cell. According to various embodiments, UEs in a cell are classified through a cell radio network temporary identity (C-RNTI), and the C-RNTI may be managed at the MAC layer. For example, the C-RNTI may be a unique UE identifier used for scheduling as an identifier for RRC access.
도 6을 참조하면, RRC-Idle 상태의 단말(user equipment; UE)(630)은 제1 기지국(eNB)(610)이 관리하는 셀들(예컨대, Cell 0(610a), Cell 1(610b), Cell 2(610c)) 중 Cell 0(610a) 영역에 위치할 수 있다. 상기 단말(630)은 상기 제1 기지국(610)에 대한 셀 탐색(cell search)을 수행하고, 상기 제1 기지국(610)의 Cell 0(610a)에 대한 무선 접속 절차(예컨대, RRC(radio resource control) connection 절차)를 진행할 수 있다. 상기 무선 접속 절차를 완료한 단말(630)은 RRC-Idle 상태에서 RRC-Connected 상태로 전환될 수 있다.6, a user equipment (UE) 630 in an RRC-Idle state includes cells managed by a first base station (eNB) 610 (e.g.,
도 7은 단말(630)과 제1 기지국(eNB)(610) 간의 무선 접속 절차를 나타내는 도면이다. 도 7을 참조하면, 다양한 실시예에 따라, 상기 단말(630)은 상기 제1 기지국(610)으로부터 수신된 신호(예컨대, PSS(primary synchronization signal), 및/또는 SSS(secondary synchronization signal))에 적어도 기반하여 동작 710에서 상기 제1 기지국(610)으로 PRACH(physical random access channel) 프리앰블을 전송할 수 있다. 예컨대, 상기 단말(630)은 상기 제1 기지국(610)으로부터 수신된 MIB(master information block) 또는 SIB(secondary information block) 정보로부터 상기 제1 기지국(610)에 대응하는 PRACH 파라미터를 확인하고, 상기 확인된 PRACH 파라미터에 기반하여 상기 PRACH 프리앰블을 전송할 수 있다.7 is a diagram illustrating a radio access procedure between a terminal 630 and a first base station (eNB) 610. Referring to FIG. 7, according to various embodiments, the terminal 630 transmits a signal received from the first base station 610 (eg, a primary synchronization signal (PSS) and/or a secondary synchronization signal (SSS)). In
다양한 실시예에 따라, 상기 단말(630)은 상기 PRACH 프리앰블 전송에 상응하여 동작 720에서 상기 제1 기지국(610)으로부터 PRACH 응답(response)을 수신할 수 있다. 상기 PRACH 응답 메시지는 자원 블록 할당(resource block assignment) 정보와 CRNTI를 포함할 수 있다. 상기 단말(630)은 상기 PRACH 응답을 수신함에 상응하여, 동작 730에서 상기 CRNTI를 포함하는 RRC connection request 메시지를 생성하여 전송할 수 있다. 다양한 실시예에 따라, 상기 제1 기지국(610)은 동작 740에서 상기 RRC connection request 메시지의 수신에 상응하여 RRC connection response 메시지를 상기 단말(630)로 전송할 수 있다. According to various embodiments, the terminal 630 may receive a PRACH response from the
다양한 실시예에 따라, 상기 C-RNTI는 상기 제1 기지국(610)에 의해서 임시로 할당되는 값으로서, 셀을 이동하면 다시 할당받게 된다. 예컨대, 도 6을 다시 참조하면, 상기 단말(630)이 Cell 0에서 C-RNTI 1을 할당받은 후, Cell 2(610c)로 이동하는 경우 C-RNTI 2를 다시 할당받을 수 있다. 계속 이동하여 상기 단말(630)은 제2 기지국(eNB)(620)이 관리하는 셀들(예컨대, Cell 3(620a), Cell 4(620b), Cell 5(620c)) 중 Cell 3(620a) 영역에 위치할 수 있다. 상기 단말(630)은 상기 제2 기지국(620)에 대한 셀 탐색을 다시 수행하고, 상기 제2 기지국(620)의 Cell 3(620a)에 대한 무선 접속 절차를 진행하고, C-RNTI 3을 할당 받을 수 있다.According to various embodiments, the C-RNTI is a value temporarily allocated by the
다양한 실시예에 따라, 상기 C-RNTI 자원은 셀 내의 단말을 구분하기 위한 값으로서, 상기 단말(630)은 C-RNTI를 변경하여 기지국(610, 620)에 통신을 요청함으로써 기지국(610, 620)에 대한 공격을 수행할 수 있다. 예컨대, 상기 공격은 기지국(610, 620)에 대한 DoS 공격으로서 “BTS resource depletion attack”으로 지칭될 수 있다. 다양한 실시예에 따라, 특정 장치는 특정 기지국에 대해 C-RNTI를 계속 변경하면서 RRC Connection을 수행하도록 함으로써 RRC Connection 자원을 소진시키는 공격을 할 수 있다. 이러한 공격은 무선 통신 프로토콜 상으로는 문제가 없기 때문에 공격으로 판단하기 어려울 수 있다.According to various embodiments, the C-RNTI resource is a value for distinguishing a terminal in a cell, and the terminal 630 changes the C-RNTI to request communication from the
다양한 실시예에 따라, 전술한 도 5a에서 제1 VNF 모듈(541)이 DU의 기능을 수행하는 모듈일 경우(예컨대, DU 장비의 기능을 대체하도록 가상화한 모듈일 경우), 자신이 관리하는 셀의 연결된 단말이 기 설정된 개수 이상일 경우 이상 징후가 있는 것으로 판단하고 상기 SM 에이전트(541a)를 통해 상기 도 5a의 보안 에이전트(550)로 상기 이상 징후와 관련된 정보(보안 로그(security log))(예컨대, 이상 징후와 관련된 정보 또는 이상 징후가 발생한 데이터 또는 패킷에 관한 정보)를 전달할 수 있다.According to various embodiments, when the
다양한 실시예에 따라, 상기 도 5a의 보안 에이전트(550)는 설정된 시간 내에서 설정된 개수 이상의 단말이 RRC 접속을 시도한 후, 응답이 없는 경우(예컨대, 기지국으로 RRC 완료 메시지를 전송하지 않는 경우) 해당 기지국에 대한 DoS 공격으로 판단할 수 있다.According to various embodiments, the
예컨대, 도 5a의 제1 VNF 모듈(541)의 동작에 따라 수신된 데이터의 MAC 계층 프로토콜 처리를 수행할 때, 보안 에이전트(550)는 상기 수신된 데이터의 MAC 계층 데이터 프레임을 확인하여 해당 전자 장치(120)에 대한 공격 여부를 판단할 수 있다. For example, when performing the MAC layer protocol processing of the received data according to the operation of the
다양한 실시예에 따라, 상기 도 6에서 전술한 바와 같이 단말(630)이 제1 기지국(610)으로 PRACH 프리앰블을 전송하면, 상기 제1 기지국(610)은 단말(630)로 PRACH Response를 전송할 수 있다. 이때, 상기 PRACH Response에 대응하는 MAC 계층 데이터 프레임은 도 8a와 같이 나타낼 수 있다.According to various embodiments, when the terminal 630 transmits a PRACH preamble to the
도 8은 상기 보안 에이전트(550)에서 확인하는 수신된 데이터(800)의 MAC 계층 데이터 프레임을 나타내는 도면이다. 도 8을 참조하면, 상기 수신된 데이터(800)의 MAC 계층 데이터 프레임은 MAC 헤더(header)(810), 및 MAC 페이로드(payload)(820)를 포함할 수 있다. 상기 MAC 헤더(810)는 복수의 서브 헤더(subheader)들을 포함할 수 있다. 상기 MAC 페이로드(820)는 적어도 하나의 MAC Control element(821), 적어도 하나의 MAC SDU, 또는 패딩 영역을 포함할 수 있다. 상기 MAC 헤더(810)는 MAC 페이로드(820) 내부에 C-RNTI 정보가 포함되어 있는지 여부 또는 MAC 페이로드(820) 내부의 C-RNTI 정보가 있는 위치를 표시할 수 있다. 상기 보안 에이전트(550)는, 상기 MAC 헤더(810)를 참조하여 상기 MAC 페이로드(820) 내부의 특정 위치(예컨대, 상기 MAC Control element(821))에서 C-RNTI 정보를 확인할 수 있다. 8 is a diagram illustrating a MAC layer data frame of received
다양한 실시예에 따라, 도 5a의 보안 에이전트(550)는 상기 도 8의MAC 계층 데이터 프레임을 분석하여 C-RNTI 데이터를 확인할 수 있다. 상기 확인된 C-RNTI 데이터는 상기 도 5a의 보안 스토리지(552)에 저장될 수 있다. 상기 보안 에이전트(550)는 상기 보안 스토리지(552)를 확인하여 전술한 바와 같이 설정된 시간 내에서 다른 C-RNTI를 가진 단말이 설정된 개수 이상의 RRC 접속을 시도하거나, 상기 RRC 접속을 시도한 후, 응답이 없는 경우(예컨대, 기지국으로 RRC 완료 메시지를 전송하지 않는 경우) 상기 단말들을 해당 기지국(610, 620)(예컨대, 전자 장치(120))에 대한 DoS 공격을 하는 단말로 판단할 수 있다 According to various embodiments, the
다양한 실시예에 따라, 도 5a의 보안 에이전트(550)는 상기 특정 단말들이 DoS 공격을 하는 단말로 판단될 경우, 상기 단말들의 식별 정보(예컨데, C-RNTI 정보)를 해당 VNF 모듈(예컨대, 제1 VNF 모듈(541))로 제공하고, 상기 제1 VNF 모듈(541)에 상기 해당 단말로부터 수신되는 데이터를 폐기(drop)시키는 보안 정책을 적용하도록 지시할 수 있다.According to various embodiments, the
다양한 실시예에 따라, 보안 서버(110)는 분석 모듈(541)을 통해 특정 단말이 공격을 하는 단말로 판단할 경우, 상기 단말의 식별 정보를 정책 정보로 생성하여 전자 장치(120)로 전송할 수 있다. 상기 전자 장치(120)의 보안 에이전트(550)는 상기 공격을 하는 단말로 판단된 단말의 식별 정보를 적어도 하나의 VNF 모듈(541, 542, 543)로 제공하고, 상기 해당 VNF 모듈(541, 542, 543)에 상기 해당 단말로부터 수신되는 데이터를 폐기(drop)시키는 보안 정책을 적용하도록 지시할 수 있다.According to various embodiments, when determining that a specific terminal is a terminal attacking through the
전술한 바와 같이 전자 장치(120) 또는 보안 서버(110)에서 특정 단말이 공격을 하는 단말로 판단될 경우, 전자 장치(120)에서 DU의 기능을 수행하는 해당 VNF 모듈(예컨대, 제1 VNF 모듈(541))에서 해당 단말로부터 수신되는 데이터를 선제적으로 차단시킬 수 있다.As described above, when the
이하, 도 9 내지 도 12를 참조하여, VNF 모듈이 CU의 기능을 수행하는 모듈일 경우의 실시예를 설명하기로 한다.Hereinafter, an embodiment in which the VNF module is a module that performs a function of a CU will be described with reference to FIGS. 9 to 12.
다양한 실시예에 따라, 전술한 도 5a에서 제3 VNF 모듈(543)이 CU의 기능을 수행하는 모듈일 경우(예컨대, CU 장비의 기능을 대체하도록 가상화한 모듈일 경우), PDCP, 또는 RRC 계층 프로토콜 데이터 처리를 수행할 수 있다. 예컨대, 도 5a에서 전자 장치(120)의 제3 VNF 모듈(543)은 도 3에서 전술한 PDCP 계층 프로토콜 데이터 처리들 중 적어도 하나를 수행할 수 있다.According to various embodiments, when the
도 9 내지 도 12는 본 개시의 일 실시 예에 따른 PDCP 계층에서의 시나리오를 나타내는 도면이다. 다양한 실시예에 따라, PCDP 계층 프로토콜은 패킷의 암호화, 무결성 검증, 헤더 압축 등을 수행할 수 있다. 예컨대, 도 5a의 제3 VNF 모듈(543)은 송신 데이터 또는 수신 데이터에 대해 도 9에 도시된 PDCP 계층 프로토콜 처리를 수행할 수 있다.9 to 12 are diagrams illustrating scenarios in a PDCP layer according to an embodiment of the present disclosure. According to various embodiments, the PCDP layer protocol may perform packet encryption, integrity verification, header compression, and the like. For example, the
다양한 실시예에 따라, 송신측 PDCP 계층 처리부(910)는 입력되는 송신 데이터에 대해 시퀀스 넘버링(911) 처리하여 각 패킷에 순서를 설정할 수 있다. 상기 송신측 PDCP 계층 처리부(910)는 상기 송신 데이터가 사용자 평면(user plane; u-plane) 데이터인 경우 헤더(header) 압축(912)을 수행할 수 있다. 다음으로, 상기 송신측 PDCP 계층 처리부(910)는 제어 평면(control plane; c-plane) 데이터에 대해서 무결성 보호 절차(913)를 수행할 수 있다. 또한, 상기 송신측 PDCP 계층 처리부(910)는 PDCP SDU 관련 데이터인 경우 암호화 처리(914)를 수행할 수 있다. 만약, 송신 데이터가 PDCP SDU 비관련 데이터인 경우, 상기 송신측 PDCP 계층 처리부(910)는 상기 무결성 보호 및 암호화 처리를 생략하고 PDCP 헤더를 추가(915)할 수 있다. 상기 PDCP 헤더 추가된 송신 데이터가 사용자 평면 데이터인 경우, 상기 송신측 PDCP 계층 처리부(910)는 라우팅(916)하여 무선 인터페이스로 전송할 수 있다.According to various embodiments, the transmitting-side PDCP
다양한 실시예에 따라, 수신 데이터는 상기 송신 데이터와 역방향의 절차로 처리될 수 있다. 예컨대, 수신측 PDCP 계층 처리부(920)는 입력되는 수신 데이터를 PDCP 헤더 제거(921) 처리한 후, 복호화(deciphering)(922), 무결성 검증(integrity verification)(923), 재정렬(reordering)(924) 처리할 수 있다. 다양한 실시예에 따라, 수신측 PDCP 계층 처리부(920) 사용자 평면 데이터에 대해 무결성 검증 절차를 생략할 수 있으며, 제어 평면 데이터에 대해 재정렬 처리 절차를 생략할 수 있다.According to various embodiments, received data may be processed in a reverse direction to the transmission data. For example, the receiving side PDCP
수신측 PDCP 계층 처리부(920)는 상기 재정렬 된 사용자 평면 수신 데이터에 대해 헤더 압축을 해제(925)한 후, 순차 전달 및 사본 검출(in order delivery and duplicate detection) (926) 절차를 수행할 수 있다. 다양한 실시예에 따라, 수신측 PDCP 계층 처리부(920)는 PDCP SDU 비관련 패킷에 대해 상기 복호화, 무결성 검증, 재정렬 절차를 생략할 수 있다.The receiving side PDCP
상기 PDCP 계층 프로토콜 처리되는 데이터가 제어 평면 데이터인 경우, PDCP 페이로드는 RRC 메시지 또는 NAS(non access stratum) 메시지를 포함할 수 있다. 예컨대, 도 10을 참조하면, 제어 평면의 PDCP 데이터(1000)는 적어도 하나의 R 필드(1001), PDCP SN(sequence number) 필드(1002), 데이터 필드(1003), MAC-I 필드(1004)를 포함할 수 있다. 상기 R 필드(1001)는 예비(reserved) 영역을 의미하며, 상기 PDCP SN 필드(1002)는 PDCP 시퀀스 번호를 의미할 수 있다. 상기 데이터 필드(1003)는 전술한 바와 같이 RRC 메시지 또는 NAS 메시지를 포함할 수 있다. 상기 MAC-I는 상기 도 9의 무결성 검증(923)을 위해 사용되는 데이터가 포함될 수 있다.When the data processed by the PDCP layer protocol is control plane data, the PDCP payload may include an RRC message or a non-access stratum (NAS) message. For example, referring to FIG. 10, the
다양한 실시예에 따라, 도 5a의 보안 에이전트(550)는 제3 VNF(543)가 CU로 동작할 때, RRC 프로토콜의 취약점을 이용한 공격들을 탐지 또는 방어할 수 있다. 예컨대, 악의의 단말이 목표 단말의 S-TMSI(SAE Temporary Mobile Subscriber Identity)값을 스푸핑(Spoofing)한 RRC Connection Request 메시지를 기지국으로 보내서 기존 RRC 연결을 끊는 공격을 수행할 수 있다. 예컨대, 상기 공격은 단말에 대한 DoS 공격으로서 “Blind DoS Attack”로 지칭될 수 있다. 다양한 실시예에 따라, 상기 S-TMSI 값은 MME(mobility management entity)에서 관리하기 때문에 보안 위협 여부를 판단하기 위해서는 보안 서버(110)의 원격 보안 에이전트(510)를 통해 판단될 수 있다. 다양한 실시예에 따라, 상기 공격에 대한 지속적인 차단을 위해서는 스푸핑된 RRC Connection을 지속적으로 보내야 하는데 이러한 경우 CU에서도 상기 보안 위협 여부 또는 공격 여부를 판단할 수 있다. 예컨대, 도 5a의 제3 VNF 모듈(543)이 CU로 동작할 경우, 보안 에이전트(550)에서는 특정 단말로부터 전송되는 RRC Connection의 지속적인 수신을 확인하고, 해당 단말의 접속을 스푸핑 공격으로 판단할 수 있다. 또한, CU로 동작하는 제3 VNF 모듈(543)은 관리하는 셀 내에서 단말들로부터 전송되는 RRC Connection이 일정 시간 동안 일정 횟수 이상 발생하거나 특정 단말로부터 전송되는 RRC Connection 요청 뒤에 RRC Connection reestablishment request가 다시 접수되는 경우 이상 징후로 판단하고 보안 에이전트(550)에 보안 위협 또는 공격 여부에 대한 판단을 요청할 수 있다. 다양한 실시예에 따라, 보안 에이전트(550)는 설정된 시간 내에 특정 단말로부터 RRC Connection이 설정된 횟수 이상 수신될 경우 해당 단말을 스푸핑 공격하는 단말로 판단할 수 있다. 예컨대, 상기 보안 에이전트(550)는 수신된 데이터의 PDCP 계층 프로토콜 처리를 통해 RRC 메시지를 확인하고, 상기 조건을 만족할 때, 상기 공격을 하는 단말로 판단된 단말의 식별 정보(예컨대, S-TMSI 정보)를 적어도 하나의 VNF 모듈(541, 542, 543)로 제공할 수 있다. 다양한 실시예에 따라, 상기 보안 에이전트(550)는 특정 단말로부터 RRC Conection이 빈번하게 발생하고, 특정 단말로부터 전송되는 RRC Connection 요청 뒤에 RRC Connection reestablishment request가 다시 접수되는 경우, 특정 단말과 RRC 통신을 위한 키(예컨대, KRRCenc)를 이용하여 수신된 데이터의 PDCP 계층 프로토콜 처리를 통해 RRC 메시지를 확인할 수 있다. 상기 보안 에이전트(550)는 상기 RRC 메시지의 확인 결과, RRC 통신을 위한 키(KRRCenc)가 유효한 키 값임을 확인한 경우 상기 특정 단말의 S-TMSI가 스푸핑(Spoofing) 된 것으로 판단하여 상기 공격을 하는 단말로 판단된 단말의 식별 정보를 적어도 하나의 VNF 모듈(541, 542, 543)로 제공할 수 있다. 상기 보안 에이전트(550)는 상기 해당 VNF 모듈(541, 542, 543)에 상기 해당 단말로부터 수신되는 데이터를 폐기(drop)시키는 보안 정책을 적용하도록 지시할 수 있다. 다양한 실시예에 따라, 상기 보안 에이전트(550)는 상기 S-TMSI를 재 발급 하기 위한 절차를 수행 하거나 상기 해당 VNF 모듈(541, 542, 543)에 S-TMSI를 재발급 하도록 하는 보안 정책을 적용하도록 지시할 수 할 수도 있다.According to various embodiments, the
다양한 실시예에 따라, 상기 보안 에이전트(550)는 암호화된 PDCP 페이로드를 복호화시키는 “키 재설정 공격(key reinstallation attack)”을 판단하고, 이를 방어할 수 있다. 예컨대, 공격자(또는 공격 단말)가 재밍을 통해서 단말이 전송하는 응답 신호에 대해 기지국이 수신하지 못하도록 할 경우, 기지국이 상기 응답 신호에 대한 요청(request) 메시지를 반복적으로 보내면 단말 키 생성에 사용되는 단말의 PDCP SN이 반복적으로 리셋될 수 있다. 공격자는 이와 같이 생성된 같은 키로 암호화된 단말이 전송하는 응답 신호를 통해서 키를 알아내는 공격을 할 수 있다. 상기 유형의 공격은 특정 메시지가 재밍을 통해서 오지 않는지, 통신상의 문제로 오지 않는 것인지 식별하는 것은 불가능하기 때문에 변칙(anomaly) 또는 이상 여부를 판단하기 어려울 수 있다. 다양한 실시예에 따라, CU로 동작하는 제3 VNF 모듈(543)은 관리하는 셀 내에서 단말들에 전송하는 요청 메시지가 일정 시간 동안 일정 횟수 이상 발생할 경우 이상 징후로 판단하고 보안 에이전트(550)에 보안 위협 또는 공격 여부에 대한 판단을 요청할 수 있다. 보안 에이전트(550)는 설정된 시간 내에 특정 단말에게 특정 메시지가 설정된 횟수 이상 송신될 경우 해당 단말이 키 재설정 공격을 받는 단말로 판단할 수 있다. 예컨대, 상기 보안 에이전트(550)는 수신된 데이터의 PDCP 계층 프로토콜 처리를 통해 RRC 메시지를 확인하고, 상기 조건을 만족할 때, 상기 공격을 받는 단말로 판단된 단말의 식별 정보를 적어도 하나의 VNF 모듈(541, 542, 543)로 제공할 수 있다. 다양한 실시예에 따라, 상기 보안 에이전트(550)는 상기 해당 VNF 모듈(541, 542, 543)에 상기 해당 단말과 RRC Security Mode 절차를 재수행하여 RRC 통신을 위한 키(KRRCenc) 값을 변경 하도록 지시할 수 있다. 다양한 실시예에 따라, 상기와 같은 프로토콜 또는 구현상의 취약점이 발견된 경우 상기 보안 에이전트(550)를 통해서 모든 CU들에 대해서 빠르게 대응할 수 있다.According to various embodiments, the
다양한 실시예에 따라, 도 5a의 보안 에이전트(550)는 제3 VNF(543)가 CU로 동작할 때, IP 계층 이상의 계층에서 이루어지는 공격을 탐지 또는 방어할 수 있다. 예컨대, 도 5a의 제3 VNF 모듈(543)이 CU로 동작할 경우, 보안 에이전트(550)에서는 제3 VNF 모듈(543)로부터 특정 단말과 IP Packet을 복호화 할 수 있는 KUPenc를 전달받아 특정 단말로부터 전송되는 PDCP 페이로드(예컨대, IP 패킷)를 복호화 후 확인하여, IP 계층 이상의 계층에서 이루어지는 공격을 탐지 또는 방어할 수 있다.According to various embodiments, when the
도 11은 PDCP PDU의 구조를 나타내는 도면이다. PDCP PDU는 PDCP 헤더(1120) 및 PDCP 페이로드를 포함할 수 있으며, 상기 PDCP 페이로드는 PDCP SDU로서 IP 패킷(1110)을 포함할 수 있다. 도 12를 참조하면 사용자 평면의 PDCP 데이터(1200)는 헤더 영역(1210) 및 데이터 영역(1220)을 포함할 수 있다. 상기 헤더 영역(1210)은 D/C 필드, R 필드, PDCP SN 필드를 포함할 수 있다. 상기 D/C 필드는 상기 PDCP 데이터(1200)가 사용자 데이터인지 제어 데이터인지를 나타낼 수 있다. 상기 데이터 영역(1220)은 IP 패킷을 포함할 수 있으며, 상기 IP 패킷은 IP 헤더 및 IP 페이로드를 포함할 수 있다. 상기 IP 패킷의 IP 헤더에는 IP 패킷의 송신자 IP 주소(source IP address) 및 수신자 IP 주소(destination IP address)를 포함할 수 있다.11 is a diagram showing the structure of a PDCP PDU. The PDCP PDU may include a
다양한 실시예에 따라, 상기 보안 에이전트(550)는 IP 주소 스푸핑을 이용한 각종 공격(예컨대, DNS amplification, SYN spoofing 등)을 탐지하여 사전에 차단할 수 있다. 다양한 실시예에 따라, CU로 동작하는 제3 VNF 모듈(543)은 관리하는 셀 내에서 단말들이 전송하는 상기 PDCP 데이터(1200)가 사용자 데이터이고 일정 시간 동안 데이터 양이 일정 크기 이상 이거나 일정 횟수 이상으로 수신될 경우 이상 상황으로 판단하고 보안 에이전트(550)에 공격 여부에 대한 판단을 요청할 수 있다. 예컨대, 상기 보안 에이전트(550)는 제3 VNF 모듈(543)로부터 특정 단말과 IP Packet을 복호화 할 수 있는 KUPenc를 전달받아 수신된 데이터의 IP 주소를 사용자 단말에 할당된 IP 주소와 비교할 수 있다. 상기 보안 에이전트(550)는 상기 비교 결과, IP 주소가 동일하지 않은 경우, IP 주소 스푸핑을 이용한 공격으로 판단하여 해당 데이터를 필터링하는 정책을 적용할 수 있다. 예컨대, 상기 보안 에이전트(550)는 상기 공격을 하는 단말로 판단된 단말의 식별 정보(예컨대, S-TMSI 정보)를 적어도 하나의 VNF 모듈(541, 542, 543)로 제공하여 상기 해당 데이터를 필터링하는 정책을 적용하도록 지시할 수 있다. 다양한 실시 예에 따라, 상기 공격 단말의 IP 주소는 보안 서버(110)의 원격 보안 에이전트(510)를 통해 판단될 수 있다. 예컨대, 상기 보안 에이전트(550)는 상기 보안 서버(110)로부터 악성으로 판단된 IP 패킷을 확인하고, 해당 IP 패킷의 송신자 IP 주소를 수신하고, 상기 수신된 IP 주소를 적어도 하나의 VNF 모듈(541, 542, 543)로 제공할 수 있다. 상기 보안 에이전트(550)는 상기 해당 VNF 모듈(541, 542, 543)에 상기 해당 IP 주소로부터 수신되는 데이터를 폐기(drop)시키는 보안 정책을 적용하도록 지시할 수 있다.According to various embodiments, the
다양한 실시예에 따라, 전술한 IP 계층에 대한 IDS(intrusion detection system)/IPS(intrusion prevention system)의 역할은 CU를 지나서 일반 네트워크에서도 할 수 있으나, 보안 에이전트(550)에서 RRC Connection을 이용한 단말에 대한 추가적인 정보를 사용할 수 있고, 전자 장치(120)에서 사전에 차단함으로써 네트워크 트래픽을 줄일 수 있다.According to various embodiments, the role of the intrusion detection system (IDS)/intrusion prevention system (IPS) for the above-described IP layer can also be played in a general network past the CU, but the
다양한 실시예에 따라, 상기 보안 에이전트(550)는 RRC 프로토콜을 준수하지 않는 무선 통신 네트워크 프로토콜 데이터를 전송하는 단말에 대해 모니터링이 필요한 단말로 설정하여 상시 모니터링을 통해 공격 여부를 판단하고, 이를 방어할 수 있다. 예컨대, 도 5a의 제3 VNF(543)가 CU로 동작할 때, 상기 제3 VNF(543)는 특정 단말이 RRC Security Mode 관련 프로토콜을 포함하는 메시지를 보내지 않은 상태에서 RRC 메시지를 전송하는 경우 이를 이상 징후로 판단할 수 있다. 상기 경우에 해당 단말이 보내는 무선 통신 네트워크 프로토콜의 경우 암호화 또는 무결성 체크가 되지 않아 보안에 취약할 수 있으므로, 제3 VNF(543)는 상기 보안 에이전트(550)에 이상 징후에 관한 정보 또는 상기 특정 단말의 정보를 전달하고 모니터링 하도록 요청할 수 있다. 다양한 실시 예에 따라, 보안 에이전트(550)는 상기 특정 단말에 대해 상시 모니터링이 필요한 단말로 등록하고 상기 특정 단말로부터 수신된 데이터의 PDCP 계층 프로토콜 처리를 통해 RRC 메시지를 확인 후, 상기 등록된 단말을 설정된 횟수 보다 더 낮은 횟수에서 공격하는 단말로 판단할 수 있다. 다양한 실시예에 따라, 보안 에이전트(550)는 PDCP 메시지가 암호화 되지 않음을 확인하고, 암호화되지 않은 PDCP 페이로드를 추가로 분석할 수 있다. 예컨대, 상기 보안 에이전트(550)는 기 설정된 보안 룰 또는 PDCP SDU로서 IP 패킷(1110)의 헤더 정보를 분석하여 악성 IP 여부를 체크 후 공격 여부를 판단할 수 있다. 다양한 실시예에 따라, 상기 보안 에이전트(550)는 상기 조건을 만족할 때, 상기 공격을 하는 단말로 판단된 단말의 식별 정보를 적어도 하나의 VNF 모듈(541, 542, 543)로 제공할 수 있다. 상기 보안 에이전트(550)는 상기 해당 VNF 모듈(541, 542, 543)에 상기 해당 단말로부터 수신되는 데이터를 폐기(drop)시키는 보안 정책을 적용하도록 지시할 수 있다.According to various embodiments, the
도 13 및 도 14는 다양한 실시예들에 따른 보안 서버와 연동하여 보안 정책을 적용하는 실시예를 나타내는 도면이다. 도 13을 참조하면, 각 전자 장치(120a, 120b, 120c, 120d)의 보안 모듈(122a, 122b, 122c, 122d)은 VNF 모듈(121a, 121b, 121c, 121d)의 동작에 따라 생성되는 보안 정보에 기반하여 보안 위협을 판단하고, 판단 결과에 따라 보안 리포트(security report)를 생성하여 보안 서버(110)의 보안 모듈(111)로 전송할 수 있다.13 and 14 are diagrams illustrating an embodiment in which a security policy is applied in conjunction with a security server according to various embodiments. Referring to FIG. 13,
예컨대, 제1 전자 장치(120a)의 보안 모듈(122a)은 VNF 모듈(121a)의 동작에 따라 생성되는 보안 정보에 기반하여 해당 데이터를 분석할 수 있으며, 상기 분석 결과 보안 위협이 예상되는 데이터(또는 IP 패킷)의 송신자 IP 주소 및 수신자 IP 주소(Source: 10.113.109.11~20, Destination: 10.114.105.12)를 포함하는 보안 리포트를 보안 서버(110)의 보안 모듈(111)로 전송할 수 있다. For example, the
마찬가지로, 제2 전자 장치(120b)의 보안 모듈(122b)은 VNF 모듈(121b)의 동작에 따라 생성되는 보안 정보에 기반하여 해당 데이터를 분석할 수 있으며, 상기 분석 결과 보안 위협이 예상되는 데이터(또는 IP 패킷)의 송신자 IP 주소 및 수신자 IP 주소(Source: 10.113.108.11~20, Destination: 10.114.105.12)를 포함하는 보안 리포트를 보안 서버(110)의 보안 모듈(111)로 전송할 수 있다. Similarly, the
마찬가지로, 제3 전자 장치(120c)의 보안 모듈(122c)은 보안 위협이 예상되는 데이터(또는 IP 패킷)의 송신자 IP 주소 및 수신자 IP 주소(Source : 10.113.107.11~20, Destination: 10.114.105.12)를 포함하는 보안 리포트를 보안 서버(110)의 보안 모듈(111)로 전송할 수 있으며, 제4 전자 장치(120d)의 보안 모듈(122d)은 보안 위협이 예상되는 데이터(또는 IP 패킷)의 송신자 IP 주소 및 수신자 IP 주소(Source: 10.113.106.11~20, Destination: 10.114.105.12)를 포함하는 보안 리포트를 보안 서버(110)의 보안 모듈(111)로 전송할 수 있다. Similarly, the
상기 각 전자 장치들(120a, 120b, 120c, 120d)로부터 보안 리포트들을 수신한 보안 서버(110)는 상기 보안 리포트에 포함된 정보들을 분석하여 새로운 보안 정책을 생성할 수 있다. 예컨대, 상기 보안 서버(110)의 보안 모듈(111))은 상기 각 전자 장치들(120a, 120b, 120c, 120d)로부터 수신된 보안 리포트들에 포함된 정보를 분석한 결과로서, 10.113.106.* 부터 10.113.109.*까지의 주소에 해당하는 장치로부터 전송된 패킷이 10.114.105.12를 목적지로 하는 경우 해당 패킷을 보안 위협(예컨대, DDoS 공격)이 되는 패킷으로 판단하고, 상기 패킷을 차단하는 보안 정책 정보를 생성할 수 있다. 상기 보안 서버(110)는 상기 생성된 보안 정책 정보를 각 전자 장치(120a, 120b, 120c, 120d)의 보안 모듈(122a, 122b, 122c, 122d)로 전송할 수 있다. 상기 각 전자 장치(120a, 120b, 120c, 120d)의 보안 모듈(122a, 122b, 122c, 122d)은 상기 보안 서버(110)로부터 수신된 보안 정책 정보를 각 VNF 모듈(121a, 121b, 121c, 121d)에 적용하도록 지시할 수 있다.The
상기 각 VNF 모듈(121a, 121b, 121c, 121d)에 새롭게 적용된 보안 정책에 따라, 10.113.106.* 부터 10.113.109.*까지의 주소에 해당하는 장치로부터 전송된 패킷이 10.114.105.12를 목적지로 할 경우 해당 패킷을 폐기(drop)시키도록 처리할 수 있다.According to the security policy newly applied to each of the
도 14를 참조하면, 전자 장치(120)의 보안 모듈(122)은 VNF 모듈(121)의 동작에 따라 생성되는 보안 정보에 기반하여 보안 위협을 판단하고, 판단 결과에 따라 보안 리포트(security report)를 상기 보안 서버(110)의 보안 모듈(111)로 전송할 수 있다. 예컨대, 상기 전자 장치(120)의 보안 모듈(122)은 수신된 데이터의 NAS 메시지를 검사하여 보안 위협의 가능성이 있는 것으로 판단되는 경우 상기 해당 NAS 메시지를 보안 서버(110)로 전송할 수 있다. 보안 서버(110)의 보안 모듈(111)에서는 상기 전자 장치(120)의 보안 모듈(122)로부터 전송된 NAS 메시지를 분석한 결과, 보안 위협이 있다고 판단되는 경우 이와 관련된 새로운 보안 정책 정보를 생성할 수 있다. 예컨대, 상기 보안 서버(110)의 보안 모듈(111)은 상기 NAS 메시지에 포함된 MAC(Message Authentication Code) 정보, 시퀀스 번호(Sequence Number), NAS 메시지를 분석하고, 상기 MAC 정보에 오류가 있거나, 시퀀스 번호가 중복되거나, NAS 메시지가 암호화되지 않고 평문일 경우 해당 NAS 메시지가 보안 위협이 있는 것으로 판단할 수 있다. Referring to FIG. 14, the
상기 보안 서버(110)의 보안 모듈(111)은 상기 NAS 메시지를 전송한 해당 기지국(1410을 차단하도록 하는 보안 정책 정보를 생성하여 상기 해당 전자 장치(120)의 보안 모듈(122)로 제공할 수 있다.The
상기 각 전자 장치(120)의 보안 모듈(122)은 상기 보안 서버(110)로부터 수신된 보안 정책 정보를 각 VNF 모듈(121)에 적용하도록 지시할 수 있다. 상기 각 VNF 모듈(121)에 새롭게 적용된 보안 정책에 따라, 상기 해당 기지국(1410)을 차단시키거나, 상기 해당 기지국(1410)으로부터 전송되는 데이터는 모두 폐기(drop)시키도록 처리할 수 있다.The
도 15는 다양한 실시예들에 따른 전자 장치의 동작 절차를 나타내는 흐름도이다. 도 15를 참조하면, 다양한 실시예에 따라, 전자 장치(120)는 동작 1510에서 무선 접속 네트워크를 통해 전송되는 무선 통신 데이터를 수신할 수 있다.15 is a flowchart illustrating an operation procedure of an electronic device according to various embodiments of the present disclosure. Referring to FIG. 15, according to various embodiments, the
동작 1520에서, 전자 장치(120)는 적어도 하나의 제1 가상화 모듈(예컨대, VNF 모듈(121))에 의해 상기 수신된 무선 통신 데이터를 무선 접속 네트워크 프로토콜에 기반하여 처리할 수 있다.In
동작 1530에서, 전자 장치(120)는 상기 적어도 하나의 제1 가상화 모듈에 의해, 상기 수신된 무선 통신 데이터 또는 상기 무선 통신 데이터의 처리 결과에 기초하여 이상 징후를 확인할 수 있다.In
상기 확인 결과, 동작 1540에서 해당 데이터에 대해 이상 징후가 있는 것으로 판단하면, 전자 장치(120)는 상기 이상 징후를 나타내는 보안 정보를 제2 가상화 모듈(예컨대, 보안 에이전트(550))로 전달하고, 동작 1550에서, 상기 전자 장치(120)는 상기 제2 가상화 모듈(예컨대, 보안 에이전트(550))에 의해 상기 이상 징후를 나타내는 보안 정보를 기반으로 무선 접속 네트워크상의 보안 위협을 판단할 수 있다.As a result of the verification, if it is determined that there is an abnormality symptom for the data in
도 16은 다양한 실시예들에 따른 각 장치들 간의 동작 절차를 나타내는 신호 흐름도이다. 도 16을 참조하면, 다양한 실시예에 따라, 전자 장치(120)의 VNF 모듈(541)은 동작 1602에서 무선 통신 프로토콜에 따라 데이터를 처리할 수 있다.16 is a signal flow diagram illustrating an operation procedure between devices according to various embodiments. Referring to FIG. 16, according to various embodiments, the
동작 1604에서, 상기 VNF 모듈(541)은 상기 수신된 무선 통신 데이터 또는 상기 무선 통신 데이터의 처리 결과에 기초하여 이상 징후를 확인할 수 있다.In
동작 1606에서, 상기 VNF 모듈(541)은 상기 확인된 이상 징후에 대한 이상 징후 관련 정보(예컨대, 이상 징후 정보, 이상 징후가 확인된 해당 데이터(또는 해당 패킷)에 관한 식별 정보(예컨대, 패킷 식별 번호), 또는 이상 징후가 확인된 해당 데이터(또는 패킷)를 전자 장치(120) 내의 보안 에이전트(550)로 전달할 수 있다.In
동작 1608에서, 보안 에이전트(550)는 상기 이상 징후가 확인된 데이터에 대해 추가 분석하고, 동작 1610에서, 상기 분석 결과에 따라 새로운 보안 정책을 생성하거나 기설정된 보안 정책을 확인할 수 있다.In
동작 1612에서, 상기 보안 에이전트(550)는 해당 VNF 모듈(541)로 상기 새로운 보안 정책 또는 확인된 보안 정책에 대한 적용을 지시할 수 있다.In operation 1612, the
동작 1614에서, 상기 VNF 모듈(541)은 상기 보안 에이전트(550)의 보안 정책 적용에 대한 지시를 수신하고, 해당 보안 정책을 적용할 수 있다.In
다양한 실싱예에 따라, 동작 1616에서 상기 보안 에이전트(550)는 상기 분석 결과를 보안 서버(110)의 원격 보안 에이전트(510)로 전송할 수 있다.According to various examples, the
동작 1618에서, 상기 원격 보안 에이전트(510)는 상기 전자 장치(120)의 보안 에이전트(550)로부터 수신된 분석 결과를 기반으로 추가 분석을 수행할 수 있다.In
동작 1620에서, 상기 원격 보안 에이전트(510)는 상기 추가 분석 결과 새로운 보안 정책 정보를 생성할 수 있다.In
동작 1622에서, 상기 원격 보안 에이전트(510)는 상기 생성된 새로운 보안 정책 정보를 상기 전자 장치(120)의 보안 에이전트(550)로 전송할 수 있다.In
동작 1624에서, 상기 전자 장치(120)의 보안 에이전트(550)는 상기 보안 서버(110)의 원격 에이전트(510)로부터 수신된 새로운 보안 정책 정보를 저장할 수 있다.In
동작 1626에서, 상기 보안 에이전트(550)는 해당 VNF 모듈(541)로 상기 수신된 새로운 보안 정책에 대한 적용을 지시할 수 있다.In
동작 1628에서, 상기 VNF 모듈(541)은 상기 보안 에이전트(550)의 새로운 보안 정책 적용에 대한 지시를 수신하고, 해당 보안 정책을 적용할 수 있다.In
다양한 실시예 중 어느 하나에 따른, 전자 장치의 무선 접속 네트워크상의 보안 위협 판단 방법은, 무선 접속 네트워크를 통해 전송되는 무선 통신 데이터를 수신하는 동작; 무선 접속 네트워크의 기능을 가상화 한 적어도 하나의 제1 가상화 모듈에 의해, 상기 수신된 무선 통신 데이터를 무선 접속 네트워크 프로토콜에 기반하여 처리하는 동작; 상기 적어도 하나의 제1 가상화 모듈에 의해, 상기 무선 통신 데이터 또는 상기 무선 통신 데이터의 처리 결과에 기초하여 이상 징후를 확인하는 동작; 상기 적어도 하나의 제1 가상화 모듈에 의해, 상기 무선 통신 데이터와 관련된 정보를 제2 가상화 모듈로 전달하는 동작; 및 제2 가상화 모듈에 의해, 상기 이상 징후가 확인된 무선 통신 데이터와 관련된 정보를 기반하여 예상되는 무선 접속 네트워크상의 보안 위협을 판단하는 동작을 포함할 수 있다.According to any one of various embodiments, a method of determining a security threat on a wireless access network of an electronic device includes: receiving wireless communication data transmitted through the wireless access network; Processing the received wireless communication data based on a wireless access network protocol by at least one first virtualization module that virtualizes a function of a wireless access network; Checking, by the at least one first virtualization module, an abnormal symptom based on the processing result of the wireless communication data or the wireless communication data; Transmitting information related to the wireless communication data to a second virtualization module by the at least one first virtualization module; And determining, by the second virtualization module, an expected security threat on the wireless access network based on information related to the wireless communication data for which the abnormality is confirmed.
다양한 실시예에 따라, 상기 보안 정보를 생성하는 동작은, 상기 VNF 모듈 내에서 실행되는 보안 모니터링(security monitoring; SM) 데몬(daemon)에 의해 상기 무선 통신 데이터와 관련된 보안 정보를 생성할 수 있다.According to various embodiments, the operation of generating the security information may generate security information related to the wireless communication data by a security monitoring (SM) daemon executed in the VNF module.
다양한 실시예에 따라, 상기 VNF 모듈은, PDCP(packet data convergence protocol entity) 계층 처리, RLC(radio link control entity) 계층 처리, MAC(medium access control entity) 계층 처리 또는 PHY(physical entity) 계층 처리 중 적어도 하나에 기반하여 상기 수신된 무선 통신 데이터를 처리할 수 있다.According to various embodiments, the VNF module is performing packet data convergence protocol entity (PDCP) layer processing, radio link control entity (RLC) layer processing, medium access control entity (MAC) layer processing, or physical entity (PHY) layer processing. The received wireless communication data may be processed based on at least one.
다양한 실시예에 따라, 상기 예상되는 무선 접속 네트워크상의 보안 위협은, DoS(denial of service), DDoS(distributed DoS), 스푸핑(spoofing), 또는 보안 취약점(exploit) 공격 중 적어도 하나를 포함할 수 있다.According to various embodiments, the expected security threat on the wireless access network may include at least one of denial of service (DoS), distributed DoS (DDoS), spoofing, or security vulnerability attack. .
다양한 실시예에 따라, 상기 보안 에이전트는, 상기 생성된 보안 정보에 기반하여, 상기 제1 가상화 모듈에 의해 처리된 무선 네트워크 계층 보다 상위 계층의 데이터를 확인하여, 보안 위협을 판단할 수 있다.According to various embodiments, the security agent may determine a security threat by checking data of a layer higher than the wireless network layer processed by the first virtualization module, based on the generated security information.
다양한 실시예에 따라, 상기 보안 에이전트는, 상기 예상되는 무선 접속 네트워크상의 보안 위협이 판단되면, 상기 적어도 하나의 제1 가상화 모듈로 설정된 대응책을 전송하며, 상기 설정된 대응책은, 해당하는 무선 통신 데이터에 대한 폐기(drop) 처리, 무응답 처리 또는 경고(alert) 처리 중 적어도 하나를 포함할 수 있다.According to various embodiments, the security agent, when it is determined that the expected security threat on the wireless access network, transmits a countermeasure set to the at least one first virtualization module, and the set countermeasure is based on the corresponding wireless communication data. It may include at least one of a drop processing, a non-response processing, or an alert processing.
다양한 실시예에 따라, 상기 제1 가상화 모듈은, 지정된 시간 내에 지정된 바이트 수 또는 지정된 패킷 수를 초과하는 데이터가 수신되거나, 무선 통신 데이터를 전송하는 단말이 지정된 숫자를 초과하거나, 상기 수신된 무선 통신 데이터의 페이로드(payload) 상에서 특정 무선 통신 프로토콜이 지정된 횟수 이상 확인될 경우, 이상 징후로 판단할 수 있다.According to various embodiments, the first virtualization module receives data exceeding a specified number of bytes or a specified number of packets within a specified time, a terminal transmitting wireless communication data exceeds a specified number, or the received wireless communication If a specific wireless communication protocol is checked more than a specified number of times on the data payload, it may be determined as an abnormal symptom.
다양한 실시예에 따라, 상기 제2 가상화 모듈은, 상기 수신된 무선 통신 데이터의 페이로드 정보를 확인하고, 단말의 식별정보, 무선 통신 프로토콜의 송신 또는 수신 횟수, 또는 암호화 여부 중 적어도 하나에 기반하여 무선 접속 네트워크상의 보안 위협을 판단할 수 있다.According to various embodiments, the second virtualization module checks the payload information of the received wireless communication data, and based on at least one of identification information of the terminal, the number of transmissions or receptions of the wireless communication protocol, or whether encryption or not. You can determine the security threats on the wireless access network.
본 문서에 개시된 다양한 실시예들에 따른 전자 장치는 다양한 형태의 장치가 될 수 있다. 전자 장치는, 예를 들면, 컴퓨터 장치, 휴대용 통신 장치 (예: 스마트폰), 휴대용 멀티미디어 장치, 휴대용 의료 기기, 카메라, 웨어러블 장치, 또는 가전 장치를 포함할 수 있다. 본 문서의 실시예에 따른 전자 장치는 전술한 기기들에 한정되지 않는다.An electronic device according to various embodiments disclosed in this document may be a device of various types. The electronic device may include, for example, a computer device, a portable communication device (eg, a smartphone), a portable multimedia device, a portable medical device, a camera, a wearable device, or a home appliance. The electronic device according to the embodiment of the present document is not limited to the above-described devices.
본 문서의 다양한 실시예들 및 이에 사용된 용어들은 본 문서에 기재된 기술적 특징들을 특정한 실시예들로 한정하려는 것이 아니며, 해당 실시예의 다양한 변경, 균등물, 또는 대체물을 포함하는 것으로 이해되어야 한다. 도면의 설명과 관련하여, 유사한 또는 관련된 구성요소에 대해서는 유사한 참조 부호가 사용될 수 있다. 아이템에 대응하는 명사의 단수 형은 관련된 문맥상 명백하게 다르게 지시하지 않는 한, 상기 아이템 한 개 또는 복수 개를 포함할 수 있다. 본 문서에서, "A 또는 B", "A 및 B 중 적어도 하나",“A 또는 B 중 적어도 하나,”"A, B 또는 C," "A, B 및 C 중 적어도 하나,”및 “A, B, 또는 C 중 적어도 하나"와 같은 문구들 각각은 그 문구들 중 해당하는 문구에 함께 나열된 항목들 중 어느 하나, 또는 그들의 모든 가능한 조합을 포함할 수 있다. "제 1", "제 2", 또는 "첫째" 또는 "둘째"와 같은 용어들은 단순히 해당 구성요소를 다른 해당 구성요소와 구분하기 위해 사용될 수 있으며, 해당 구성요소들을 다른 측면(예: 중요성 또는 순서)에서 한정하지 않는다. 어떤(예: 제 1) 구성요소가 다른(예: 제 2) 구성요소에, “기능적으로” 또는 “통신적으로”라는 용어와 함께 또는 이런 용어 없이, “커플드” 또는 “커넥티드”라고 언급된 경우, 그것은 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로(예: 유선으로), 무선으로, 또는 제 3 구성요소를 통하여 연결될 수 있다는 것을 의미한다.Various embodiments of the present document and terms used therein are not intended to limit the technical features described in this document to specific embodiments, and should be understood to include various modifications, equivalents, or substitutes of the corresponding embodiment. In connection with the description of the drawings, similar reference numerals may be used for similar or related components. The singular form of a noun corresponding to an item may include one or more of the above items unless clearly indicated otherwise in a related context. In this document, “A or B”, “at least one of A and B”, “at least one of A or B,” “A, B or C,” “at least one of A, B and C,” and “A Each of the phrases such as "at least one of, B, or C" may include any one of the items listed together in the corresponding one of the phrases, or all possible combinations thereof. Terms such as "first", "second", or "first" or "second" may be used simply to distinguish the component from other Order) is not limited. Some (eg, first) component is referred to as “coupled” or “connected” to another (eg, second) component, with or without the terms “functionally” or “communicatively”. When mentioned, it means that any of the above components may be connected to the other components directly (eg by wire), wirelessly, or via a third component.
본 문서에서 사용된 용어 "모듈"은 하드웨어, 소프트웨어 또는 펌웨어로 구현된 유닛을 포함할 수 있으며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로 등의 용어와 상호 호환적으로 사용될 수 있다. 모듈은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는, 상기 부품의 최소 단위 또는 그 일부가 될 수 있다. 예를 들면, 일실시예에 따르면, 모듈은 ASIC(application-specific integrated circuit)의 형태로 구현될 수 있다. The term "module" used in this document may include a unit implemented in hardware, software, or firmware, and may be used interchangeably with terms such as logic, logic blocks, parts, or circuits. The module may be an integrally configured component or a minimum unit of the component or a part thereof that performs one or more functions. For example, according to an embodiment, the module may be implemented in the form of an application-specific integrated circuit (ASIC).
본 문서의 다양한 실시예들은 기기(machine)(예: 마스터 장치 또는 태스크 수행 장치) 의해 읽을 수 있는 저장 매체(storage medium)(예: 내장 메모리 또는 외장 메모리)에 저장된 하나 이상의 명령어들을 포함하는 소프트웨어(예: 프로그램)로서 구현될 수 있다. 예를 들면, 기기(예: 마스터 장치 또는 태스크 수행 장치)의 프로세서는, 저장 매체로부터 저장된 하나 이상의 명령어들 중 적어도 하나의 명령을 호출하고, 그것을 실행할 수 있다. 이것은 기기가 상기 호출된 적어도 하나의 명령어에 따라 적어도 하나의 기능을 수행하도록 운영되는 것을 가능하게 한다. 상기 하나 이상의 명령어들은 컴파일러에 의해 생성된 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장매체 는, 비일시적(non-transitory) 저장매체의 형태로 제공될 수 있다. 여기서, '비일시적'은 저장매체가 실재(tangible)하는 장치이고, 신호(signal)(예: 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다.Various embodiments of the present document are software including one or more instructions stored in a storage medium (eg, internal memory or external memory) that can be read by a machine (eg, a master device or a task performing device). Example: Program). For example, the processor of the device (eg, a master device or a task performing device) may call at least one command among one or more commands stored from a storage medium and execute it. This enables the device to be operated to perform at least one function according to the at least one command invoked. The one or more instructions may include code generated by a compiler or code executable by an interpreter. A storage medium that can be read by a device may be provided in the form of a non-transitory storage medium. Here,'non-transitory' only means that the storage medium is a tangible device and does not contain a signal (e.g., electromagnetic waves), and this term refers to the case where data is semi-permanently stored in the storage medium. It does not distinguish between temporary storage cases.
일실시예에 따르면, 본 문서에 개시된 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예: compact disc read only memory (CD-ROM))의 형태로 배포되거나, 또는 어플리케이션 스토어(예: 플레이 스토어TM)를 통해 또는 두개의 사용자 장치들(예: 스마트폰들) 간에 직접, 온라인으로 배포(예: 다운로드 또는 업로드)될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품의 적어도 일부는 제조사의 서버, 어플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 기기로 읽을 수 있는 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다.According to an embodiment, a method according to various embodiments disclosed in the present document may be provided by being included in a computer program product. Computer program products can be traded between sellers and buyers as commodities. Computer program products are distributed in the form of a device-readable storage medium (e.g., compact disc read only memory (CD-ROM)), or through an application store (e.g. Play StoreTM) or two user devices (e.g. It can be distributed (e.g., downloaded or uploaded) directly between, e.g. smartphones). In the case of online distribution, at least a part of the computer program product may be temporarily stored or temporarily generated in a storage medium that can be read by a device such as a server of a manufacturer, a server of an application store, or a memory of a relay server.
다양한 실시예들에 따르면, 상기 기술한 구성요소들의 각각의 구성요소(예: 모듈 또는 프로그램)는 단수 또는 복수의 개체를 포함할 수 있다. 다양한 실시예들에 따르면, 전술한 해당 구성요소들 중 하나 이상의 구성요소들 또는 동작들이 생략되거나, 또는 하나 이상의 다른 구성요소들 또는 동작들이 추가될 수 있다. 대체적으로 또는 추가적으로, 복수의 구성요소들(예: 모듈 또는 프로그램)은 하나의 구성요소로 통합될 수 있다. 이런 경우, 통합된 구성요소는 상기 복수의 구성요소들 각각의 구성요소의 하나 이상의 기능들을 상기 통합 이전에 상기 복수의 구성요소들 중 해당 구성요소에 의해 수행되는 것과 동일 또는 유사하게 수행할 수 있다. 다양한 실시예들에 따르면, 모듈, 프로그램 또는 다른 구성요소에 의해 수행되는 동작들은 순차적으로, 병렬적으로, 반복적으로, 또는 휴리스틱하게 실행되거나, 상기 동작들 중 하나 이상이 다른 순서로 실행되거나, 생략되거나, 또는 하나 이상의 다른 동작들이 추가될 수 있다.According to various embodiments, each component (eg, module or program) of the above-described components may include a singular number or a plurality of entities. According to various embodiments, one or more components or operations among the above-described corresponding components may be omitted, or one or more other components or operations may be added. Alternatively or additionally, a plurality of components (eg, a module or program) may be integrated into one component. In this case, the integrated component may perform one or more functions of each component of the plurality of components in the same or similar to that performed by the corresponding component among the plurality of components prior to the integration. . According to various embodiments, operations performed by a module, program, or other component may be sequentially, parallel, repeatedly, or heuristically executed, or one or more of the operations may be executed in a different order or omitted. Or one or more other actions may be added.
Claims (20)
통신 인터페이스;
상기 통신 인터페이스와 작동적으로(operatively) 연결된 프로세서; 및
상기 프로세서와 작동적으로 연결된 메모리를 포함하고,
상기 메모리는, 실행 시에, 상기 프로세서가,
무선 접속 네트워크를 통해 전송되는 무선 통신 데이터를 상기 통신 인터페이스를 통해 수신하고,
무선 접속 네트워크의 기능을 가상화 한 적어도 하나의 제1 가상화 모듈에 의해, 상기 수신된 무선 통신 데이터를 무선 접속 네트워크 프로토콜에 기반하여 처리하고,
상기 적어도 하나의 제1 가상화 모듈에 의해, 상기 수신된 무선 통신 데이터 또는 상기 무선 통신 데이터의 처리 결과에 기초하여 이상 징후를 확인하고,
상기 적어도 하나의 제1 가상화 모듈에 의해, 상기 이상 징후를 나타내는 보안 정보를 제2 가상화 모듈에 전달하고,
상기 제2 가상화 모듈에 의해, 상기 이상 징후를 나타내는 보안 정보를 기반으로 예상되는 무선 접속 네트워크 상의 보안 위협을 판단하도록 하는 인스트럭션들을 저장하는, 전자 장치.
In the electronic device performing a radio access network (radio access network) function,
Communication interface;
A processor operatively connected with the communication interface; And
And a memory operatively connected to the processor,
The memory, when executed, the processor,
Receiving wireless communication data transmitted through a wireless access network through the communication interface,
Process the received wireless communication data based on a wireless access network protocol by at least one first virtualization module that virtualizes a function of a wireless access network,
By the at least one first virtualization module, based on the received wireless communication data or a processing result of the wireless communication data, confirming an abnormal symptom,
By the at least one first virtualization module, transfer the security information indicating the abnormality to the second virtualization module,
The electronic device that stores instructions for determining, by the second virtualization module, an expected security threat on a wireless access network based on security information indicating the anomaly.
무선 네트워크 프로토콜에 기반하여 무선 통신 데이터를 처리하는 가상화 네트워크 기능(virtual network function; VNF) 모듈인, 전자 장치.
The method of claim 1, wherein the at least one first virtualization module,
An electronic device that is a virtual network function (VNF) module that processes wireless communication data based on a wireless network protocol.
상기 적어도 하나의 제1 가상화 모듈과 연동하여 상기 적어도 하나의 제1 가상화 모듈에 대한 보안과 관련된 기능을 처리하는 보안 에이전트(security agent; SA)인, 전자 장치.
The method of claim 2, wherein the second virtualization module,
An electronic device that is a security agent (SA) that interworks with the at least one first virtualization module to process a function related to security for the at least one first virtualization module.
상기 제1 가상화 모듈 내에서 실행되는 보안 모니터링(security monitoring; SM) 모듈(Module)에 의해 상기 무선 통신 데이터와 관련된 보안 정보를 생성하도록 구성된, 전자 장치.
The method of claim 1, wherein the instructions are the processor,
The electronic device, configured to generate security information related to the wireless communication data by a security monitoring (SM) module executed in the first virtualization module.
PDCP(packet data convergence protocol entity) 계층 처리, RLC(radio link control entity) 계층 처리, MAC(medium access control entity) 계층 처리 또는 PHY(physical entity) 계층 처리 중 적어도 하나에 기반하여 상기 수신된 무선 통신 데이터를 처리하는, 전자 장치.
The method of claim 1, wherein the first virtualization module,
The received radio communication data based on at least one of packet data convergence protocol entity (PDCP) layer processing, radio link control entity (RLC) layer processing, medium access control entity (MAC) layer processing, or physical entity (PHY) layer processing Processing, electronic devices.
DoS(denial of service), DDoS(distributed DoS), 스푸핑(spoofing), 또는 보안 취약점(exploit) 공격 중 적어도 하나를 포함하는, 전자 장치.
The method of claim 1, wherein the expected security threat on the wireless access network,
An electronic device comprising at least one of denial of service (DoS), distributed DoS (DDoS), spoofing, or security vulnerability (exploit) attacks.
상기 생성된 보안 정보에 기반하여, 상기 적어도 하나의 제1 가상화 모듈에 의해 처리된 무선 네트워크 계층 보다 상위 계층의 데이터를 확인하여, 보안 위협을 판단하는, 전자 장치.
The method of claim 1, wherein the second virtualization module,
An electronic device that determines a security threat by checking data of a layer higher than the wireless network layer processed by the at least one first virtualization module, based on the generated security information.
상기 예상되는 무선 접속 네트워크상의 보안 위협이 판단되면, 상기 적어도 하나의 제1 가상화 모듈로 설정된 대응책을 전송하는, 전자 장치.
The method of claim 1, wherein the second virtualization module,
When the expected security threat on the wireless access network is determined, transmitting a countermeasure set to the at least one first virtualization module.
해당하는 무선 통신 데이터에 대한 폐기(drop) 처리, 무응답 처리 또는 경고(alert) 처리 중 적어도 하나를 포함하는, 전자 장치.
The method of claim 8, wherein the set countermeasures,
An electronic device comprising at least one of a drop processing, a non-response processing, or an alert processing for corresponding wireless communication data.
상기 생성된 보안 정보에 대응하는 무선 통신 데이터를 확인하여 보안 리포트를 생성하고, 상기 생성된 보안 리포트를 무선 접속 네트워크기능을 수행하는 장비들의 보안을 관리하는보안 서버로 전송하도록 처리하는, 전자 장치.
The method of claim 1, wherein the second virtualization module,
An electronic device that checks wireless communication data corresponding to the generated security information to generate a security report, and processes the generated security report to be transmitted to a security server that manages security of devices performing a wireless access network function.
상기 보안 서버로부터 상기 적어도 하나의 제1 가상화 모듈에 대응하는 보안 정책을 수신하고, 상기 수신된 보안 정책을 상기 적어도 하나의 제1 가상화 모듈 중 상기 보안 정책에 대응하는 제1 가상화 모듈에 적용하는, 전자 장치.
The method of claim 10, wherein the second virtualization module,
Receiving a security policy corresponding to the at least one first virtualization module from the security server, and applying the received security policy to a first virtualization module corresponding to the security policy among the at least one first virtualization module, Electronic device.
지정된 시간 내에 지정된 바이트 수 또는 지정된 패킷 수를 초과하는 데이터가 수신되거나, 무선 통신 데이터를 전송하는 단말이 지정된 숫자를 초과하거나, 상기 수신된 무선 통신 데이터의 페이로드(payload) 상에서 특정 무선 통신 프로토콜이 지정된 횟수 이상 확인될 경우, 이상 징후로 판단하는, 전자 장치.
The method of claim 1, wherein the first virtualization module,
Data exceeding the specified number of bytes or the specified number of packets is received within a specified time, the terminal transmitting the wireless communication data exceeds the specified number, or a specific wireless communication protocol is set on the payload of the received wireless communication data. An electronic device that is determined as an abnormal symptom when it is checked more than a specified number of times.
상기 수신된 무선 통신 데이터의 페이로드 정보를 확인하고,
단말의 식별정보, 무선 통신 프로토콜의 송신 또는 수신 횟수, 또는 암호화 여부 중 적어도 하나에 기반하여 무선 접속 네트워크상의 보안 위협을 판단하는, 전자 장치.
The method of claim 1, wherein the second virtualization module,
Check the payload information of the received wireless communication data,
An electronic device that determines a security threat on a wireless access network based on at least one of identification information of a terminal, a number of transmissions or receptions of a wireless communication protocol, or encryption.
무선 접속 네트워크를 통해 전송되는 무선 통신 데이터를 수신하는 동작;
무선 접속 네트워크의 기능을 가상화 한 적어도 하나의 제1 가상화 모듈에 의해, 상기 수신된 무선 통신 데이터를 무선 접속 네트워크 프로토콜에 기반하여 처리하는 동작;
상기 적어도 하나의 제1 가상화 모듈에 의해, 상기 무선 통신 데이터 또는 상기 무선 통신 데이터의 처리 결과에 기초하여 이상 징후를 확인하는 동작;
상기 적어도 하나의 제1 가상화 모듈에 의해, 상기 무선 통신 데이터와 관련된 정보를 제2 가상화 모듈로 전달하는 동작; 및
제2 가상화 모듈에 의해, 상기 이상 징후가 확인된 무선 통신 데이터와 관련된 정보를 기반하여 예상되는 무선 접속 네트워크상의 보안 위협을 판단하는 동작;을 포함하는, 무선 접속 네트워크상의 보안 위협 판단 방법.
In the method of determining a security threat on a wireless access network of an electronic device,
Receiving wireless communication data transmitted through a wireless access network;
Processing the received wireless communication data based on a wireless access network protocol by at least one first virtualization module that virtualizes a function of a wireless access network;
Checking, by the at least one first virtualization module, an abnormal symptom based on the processing result of the wireless communication data or the wireless communication data;
Transmitting information related to the wireless communication data to a second virtualization module by the at least one first virtualization module; And
A method of determining a security threat on a wireless access network, including; determining, by a second virtualization module, an expected security threat on the wireless access network based on information related to the wireless communication data for which the abnormality is confirmed.
PDCP(packet data convergence protocol entity) 계층 처리, RLC(radio link control entity) 계층 처리, MAC(medium access control entity) 계층 처리 또는 PHY(physical entity) 계층 처리 중 적어도 하나에 기반하여 상기 수신된 무선 통신 데이터를 처리하는, 무선 접속 네트워크상의 보안 위협 판단 방법.
The method of claim 14, wherein the first virtualization module,
The received radio communication data based on at least one of packet data convergence protocol entity (PDCP) layer processing, radio link control entity (RLC) layer processing, medium access control entity (MAC) layer processing, or physical entity (PHY) layer processing A method of determining a security threat on a wireless access network that processes.
DoS(denial of service), DDoS(distributed DoS), 스푸핑(spoofing), 또는 보안 취약점(exploit) 공격 중 적어도 하나를 포함하는, 무선 접속 네트워크상의 보안 위협 판단 방법.
The method of claim 14, wherein the expected security threat on the wireless access network,
A method for determining a security threat on a wireless access network, including at least one of denial of service (DoS), distributed DoS (DDoS), spoofing, or security vulnerability (exploit) attack.
상기 생성된 보안 정보에 기반하여, 상기 적어도 하나의 제1 가상화 모듈에 의해 처리된 무선 네트워크 계층 보다 상위 계층의 데이터를 확인하여, 보안 위협을 판단하는, 무선 접속 네트워크상의 보안 위협 판단 방법.
The method of claim 14, wherein the second virtualization module,
A method for determining a security threat on a wireless access network, based on the generated security information, for determining a security threat by checking data of a layer higher than the wireless network layer processed by the at least one first virtualization module.
상기 예상되는 무선 접속 네트워크상의 보안 위협이 판단되면, 상기 적어도 하나의 제1 가상화 모듈로 설정된 대응책을 전송하며,
상기 설정된 대응책은, 해당하는 무선 통신 데이터에 대한 폐기(drop) 처리, 무응답 처리 또는 경고(alert) 처리 중 적어도 하나를 포함하는, 무선 접속 네트워크상의 보안 위협 판단 방법.
The method of claim 14, wherein the second virtualization module,
When the expected security threat on the wireless access network is determined, a countermeasure set to the at least one first virtualization module is transmitted,
The set countermeasure includes at least one of a drop processing, a non-response processing, or an alert processing for the corresponding wireless communication data.
지정된 시간 내에 지정된 바이트 수 또는 지정된 패킷 수를 초과하는 데이터가 수신되거나, 무선 통신 데이터를 전송하는 단말이 지정된 숫자를 초과하거나, 상기 수신된 무선 통신 데이터의 페이로드(payload) 상에서 특정 무선 통신 프로토콜이 지정된 횟수 이상 확인될 경우, 이상 징후로 판단하는, 무선 접속 네트워크상의 보안 위협 판단 방법.
The method of claim 14, wherein the first virtualization module,
Data exceeding the specified number of bytes or the specified number of packets is received within a specified time, the terminal transmitting the wireless communication data exceeds the specified number, or a specific wireless communication protocol is set on the payload of the received wireless communication data. A method of determining security threats on a wireless access network, which is determined as an abnormal symptom if it is checked more than a specified number of times.
상기 수신된 무선 통신 데이터의 페이로드 정보를 확인하고,
단말의 식별정보, 무선 통신 프로토콜의 송신 또는 수신 횟수, 또는 암호화 여부 중 적어도 하나에 기반하여 무선 접속 네트워크상의 보안 위협을 판단하는, 무선 접속 네트워크상의 보안 위협 판단 방법.The method of claim 14, wherein the second virtualization module,
Check the payload information of the received wireless communication data,
A method of determining a security threat on a wireless access network, for determining a security threat on a wireless access network based on at least one of identification information of a terminal, a number of transmissions or receptions of a wireless communication protocol, or encryption.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP20885082.6A EP4005183A4 (en) | 2019-11-08 | 2020-11-05 | Method and electronic device for determining security threat on radio access network |
PCT/KR2020/015436 WO2021091273A1 (en) | 2019-11-08 | 2020-11-05 | Method and electronic device for determining security threat on radio access network |
US17/091,275 US11716628B2 (en) | 2019-11-08 | 2020-11-06 | Method and electronic device for determining security threat on radio access network |
US18/227,352 US20230370847A1 (en) | 2019-11-08 | 2023-07-28 | Method and electronic device for determining security threat on radio access network |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201962932680P | 2019-11-08 | 2019-11-08 | |
US62/932,680 | 2019-11-08 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20210056196A true KR20210056196A (en) | 2021-05-18 |
Family
ID=76158737
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190156388A KR20210056196A (en) | 2019-11-08 | 2019-11-29 | Method for determining a security threat on a radio access network and electronic device |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20210056196A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024019506A1 (en) * | 2022-07-22 | 2024-01-25 | (주)기원테크 | Mail security processing device of mail access security system that provides access management and blocking function on basis of email communication protocol, and method for operating same |
-
2019
- 2019-11-29 KR KR1020190156388A patent/KR20210056196A/en active Search and Examination
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024019506A1 (en) * | 2022-07-22 | 2024-01-25 | (주)기원테크 | Mail security processing device of mail access security system that provides access management and blocking function on basis of email communication protocol, and method for operating same |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11716628B2 (en) | Method and electronic device for determining security threat on radio access network | |
US9686294B2 (en) | Protection of communication on a vehicular network via a remote security service | |
EP2663109B1 (en) | Method and nodes for providing secure access to cloud computing for mobile users | |
CN109413060B (en) | Message processing method, device, equipment and storage medium | |
US8505095B2 (en) | System and method for monitoring and analyzing multiple interfaces and multiple protocols | |
EP3281434A1 (en) | Method, apparatus, and system for providing encryption or integrity protection in a wireless network | |
CN111133427B (en) | Generating and analyzing network profile data | |
US8671451B1 (en) | Method and apparatus for preventing misuse of a group key in a wireless network | |
WO2016007052A1 (en) | A wireless device, network node and respective methods therein for transmitting data therebetween | |
Lei et al. | SecWIR: Securing smart home IoT communications via wi-fi routers with embedded intelligence | |
KR102215706B1 (en) | Dynamic security analysis method for control plane and system therefore | |
KR20210108034A (en) | Method for defending an attack of a fake base station in communication network, management server and base station | |
Park et al. | Session management for security systems in 5g standalone network | |
CN108141353B (en) | Method and equipment for upgrading cryptographic algorithm | |
Fujdiak et al. | Security in low-power wide-area networks: State-of-the-art and development toward the 5G | |
US11330438B2 (en) | Active base providing local man-in-the-middle firewall | |
JP6651613B2 (en) | Wireless communication | |
KR20210056196A (en) | Method for determining a security threat on a radio access network and electronic device | |
US11463880B2 (en) | Dynamic security analysis method for control plane and system therefore | |
Jover et al. | Some key challenges in securing 5G wireless networks | |
JP2023535474A (en) | ASSOCIATION CONTROL METHOD AND RELATED DEVICE | |
Bertino et al. | 5G security and privacy: A research roadmap | |
EP4185003A1 (en) | Communication method and apparatus | |
EP4207679A1 (en) | Method, mobile equipment, and system for keystream protection | |
US20140024344A1 (en) | Mobile communication method, radio base station, mobile management node, and mobile station |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination |