KR20220144820A - 개선된 패킷 전송 - Google Patents

개선된 패킷 전송 Download PDF

Info

Publication number
KR20220144820A
KR20220144820A KR1020227031027A KR20227031027A KR20220144820A KR 20220144820 A KR20220144820 A KR 20220144820A KR 1020227031027 A KR1020227031027 A KR 1020227031027A KR 20227031027 A KR20227031027 A KR 20227031027A KR 20220144820 A KR20220144820 A KR 20220144820A
Authority
KR
South Korea
Prior art keywords
packet
subscriber
network
encryption
communication network
Prior art date
Application number
KR1020227031027A
Other languages
English (en)
Inventor
헨리크 아가르드 예르겐센
미카엘 칼센
Original Assignee
오노몬도 에이피에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 오노몬도 에이피에스 filed Critical 오노몬도 에이피에스
Publication of KR20220144820A publication Critical patent/KR20220144820A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Abstract

상호 연관된 연산 장치 및 시스템은 증가하는 암호화 요구를 충족하기 위해 더욱 더 강력한 장치를 필요로 한다. 이는 통신 네트워크(1)의 액세스 네트워크(20)를 통해 사용자 장비(10)로부터 패킷(50)을 수신하는 단계로서, 패킷(50)은 상기 사용자 장비(10)의 가입자 ID 및 통신 네트워크(1)의 암호화 프로토콜을 준수하는 통신사 암호화 계층(52)을 갖는, 단계; 상기 통신 네트워크(1)의 네트워크 코어(30)에서 상기 가입자 ID를 사용하여 상기 통신 네트워크(1)의 프로토콜에 따라 상기 패킷(50)의 통신사 암호화 계층(52)을 복호화하는 단계; 상기 패킷(50)의 상기 가입자 ID와 사전에 연관된 상기 네트워크 코어(30)의 동작 데이터베이스(31)에 저장된 미리 결정된 동작을 찾는 단계; 및 상기 네트워크 코어(30)에서 상기 패킷(50)에 대해 상기 미리 결정된 동작을 수행하는 단계를 포함하는 컴퓨터-구현 방법을 제공함으로써 개선될 수 있다.

Description

개선된 패킷 전송
본 발명은 통신 네트워크의 패킷 교환 네트워크 코어에서 개선된 데이터 핸들링 및 패킷 라우팅 및 가공을 위한 방법, 그리고 이러한 방법을 수행하기 위한 컴퓨터 시스템, 프로그램 및 물리적 저장 매체에 관한 것이다.
자동화, 사물 인터넷(IoT) 및 산업 혁명 4.0의 새로운 발전 중에서 가장 중요한 것은 장치 및 프로세스 모니터링을 가능하게 하는 임베디드 센서이다. 사용 안정성을 높이고 비용을 절감함으로써 이러한 센서 장치는 훨씬 더 많은 산업에서 비용 효율적이다. 이러한 장치에는 네트워크를 통한 통신을 위한 마이크로컨트롤러, 메모리가 있고, 종종 안테나도 있다.
이러한 장치에 설치된 소프트웨어는 네트워크 및 데이터 패킷 수신자의 계속 증가하는 암호화 요구사항으로 인해 무용지물이 된다. 소위 '데이 제로' 취약점은 센서 장치를 악의적인 당사자에게 노출시킬 수 있는 이벤트의 한 예일 뿐이며, 다른 한 예로는 해커의 연산 능력이 점점 증가하는 것이 있다. 오늘날 이 문제는 소프트웨어 업데이트와 새롭고 더 나은 센서 장치의 설치로 해결된다.
임베디드 센서는 종종 원격 위치에 있고, 따라서 케이블을 통해 전원을 공급할 수 없다. 종래에는 감지, 데이터 가공 및 데이터 패킷 전송을 위한 전원을 공급하기 위해 센서에 배터리를 사용하여 이 문제를 해결했다. 악의적인 당사자를 차단하기 위한 개선된 암호화의 필요성 때문에 더 큰 연산 성능과 데이터 전송이 필요하며, 이 때문에 더욱 더 배터리 전력이 소모되고 장치 비용이 증가한다. 또한 악의적인 당사자가 센서 장치에 대한 접근 권한을 얻은 경우, 잠재적으로 여러 개의 장치의 암호화를 손상시키기 위해 양쪽 수신자 주소를 찾을 뿐 아니라 키를 찾기 위해 센서 장치를 변조할 지도 모른다. 이러한 문제는 충분히 강력한 암호화를 사용하고/하거나 센서 장치에 연결이 불가능하도록 함으로써 해결된다.
따라서 원격 센서 장치의 성능, 보안 및 유연성을 개선할 수 있는 솔루션이 필요하다.
일 양태에서,
- 통신 네트워크의 액세스 네트워크를 통해 사용자 장비로부터 패킷을 수신하는 단계로서, 패킷은 상기 사용자 장비의 가입자 ID를 가지며 액세스 네트워크에서 통신 네트워크의 프로토콜에 따라 암호화되는, 단계,
- 상기 통신 네트워크의 네트워크 코어에서 상기 가입자 ID를 사용하여 상기 통신 네트워크의 프로토콜에 따라 상기 패킷을 복호화하는 단계
를 포함하는 컴퓨터-구현 방법으로서,
- 상기 패킷의 상기 가입자 ID와 사전에 연관된 상기 네트워크 코어의 동작 데이터베이스에 저장된 미리 결정된 동작을 찾는 단계, 및
- 상기 네트워크 코어에서 상기 패킷에 대해 상기 미리 결정된 동작을 수행하는 단계를 특징으로 하는 컴퓨터-구현 방법이 제공된다.
제2 양태에서,
- 통신 네트워크의 액세스 네트워크를 통해 사용자 장비로부터 패킷을 수신하는 단계로서, 패킷은 상기 사용자 장비의 가입자 ID를 가지며 액세스 네트워크에서 통신 네트워크의 프로토콜에 따라 암호화되는, 단계,
- 상기 통신 네트워크의 네트워크 코어에서 상기 가입자 ID를 사용하여 상기 통신 네트워크의 프로토콜에 따라 상기 패킷을 복호화하는 단계
를 포함하는 컴퓨터-구현 방법으로서,
- 상기 패킷의 상기 가입자 ID와 사전에 연관된 상기 네트워크 코어의 동작 데이터베이스에 저장된 미리 결정된 동작을 찾는 단계, 및
- 상기 네트워크 코어에서 상기 패킷에 대해 상기 미리 결정된 동작을 수행하는 단계로서, 미리 결정된 동작은,
- 패킷의 가입자 ID를 매핑 데이터베이스로부터의 제2 식별자로 대체하는 동작으로서, 제2 식별자는 가입자 ID에 고유한 것이고 공용 인터넷을 통한 전송 후에 패킷의 수신자에 의해 사용자 장비를 식별 및/또는 인증하는 데 유용한 것인, 동작, 또는
- 상기 패킷의 페이로드 데이터를 수정하여 수정된 패킷을 생성하는 동작을 포함하는, 단계
를 특징으로 하는 컴퓨터-구현 방법이 제공된다.
이에 의해, 규정이 변경되거나 장치 펌웨어 오류가 식별되거나 펌웨어가 최적화될 때, 이러한 개선 사항을 네트워크 코어에서 중앙 집중식으로 구현할 수 있다. 그렇게 하면 업데이트는 빠르고 저렴하며 영향을 받는 모든 사용자 장비에 즉시 적용된다. 이러한 손쉬운 펌웨어 업데이트를 허용함으로써 사용자 장비의 수명이 크게 증가되는데, 왜냐하면 펌웨어의 연산 요구사항이 더 이상 사용자 장비의 연산 성능에 의존하지 않기 때문이다. 이는 또한 펌웨어 디자이너를 플랫폼별 작업 및 하드웨어 수준 최적화에서 해방시킨다. 그 대신에, 펌웨어를 하나 또는 수 개의 더 큰 시스템에서 가능한 한 효율적이고 효과적이게 만들 수 있다.
예를 들어, 사용자 장비 제조업체가 특정 제품에 대한 펌웨어 업데이트를 수년 동안만, 예를 들어 5년 또는 10년 동안만 제공하는 것은 드문 일이 아니며, 그 이후 사용자 장비 제조업체는 펌웨어를 적절하게 실행하는 데 필요한 연산 작업을 사용자 장비가 여전히 수행할 수 있음을 보증하지 않을 것이다. 연산 작업을 네트워크 코어로 오프로딩(offloading)함으로써 이러한 업데이트를 중앙 집중식으로 수행할 수 있으며, 사용자 장비를 제거하지 않고도 연산 작업을 확장할 수 있다.
이에 의해, 사용자 장비는 작고 저렴하며 단순할 수 있다. 또한 더 이상 펌웨어 업데이트가 필요하지 않기 때문에 사용자 친화적일 수 있다.
또한, 사용자 장비를 이러한 연산 오프로딩을 활용하도록 구축할 수 있으며, 따라서 처음부터 상당한 연산이 능력 없는 상태로 생산할 수 있다. 그렇게 하면 그런 사용자 장비는 매우 작고 저렴하며 단순할 수 있고 배터리 수명이 훨씬 더 길어질 수 있다.
더욱이, 수명이 거의 다 되었거나 연산상의 이유로 폐기된 레거시 사용자/센서 장비는 이 방법을 사용하여 유지되거나 서비스에 재도입될 수 있다. 이는 네트워크 코어에 업데이트된 펌웨어를 설치하고, 레거시 장비로부터 패킷을 수신한 후, 필요한 레거시 암호화 복호화를 수행한 다음 미리 결정된 동작을 찾아서 수행함으로써 달성된다.
가입자 ID는 제1 식별자라고도 하며 매핑된 식별자는 제2 식별자이다.
또한, 매핑된 식별자를 가입자 ID에 매핑함으로써, 방법은 네트워크 코어가 통신사별 패킷을 수신하고 이를 공용 인터넷을 통한 전송을 위해 준비할 수 있도록 한다. 이러한 매핑된 식별자는 가입자 ID을 식별하므로, 클라우드 데이터베이스와 같은 사설 서버에서 패킷을 수신할 때, 매핑된 식별자는 매칭되는 매핑 데이터베이스를 참조하여 사용자 장비까지 추적될 수 있다. 제2 식별자는 사전 공유 키, 개인 키 또는 로그인 자격 증명, 예를 들어 사용자의 로그인 자격 증명일 수 있다.
이 매핑을 통해 클라우드 서버와 같은 사설 서버는 장치를 식별하고 인증하여 장치가 적법한 것인지 확인할 수 있게 된다. 어떤 자격 증명이나 키든지 손상된 경우에는 어떤 개별 장치 상의 펌웨어나 소프트웨어도 업데이트할 필요 없이 이를 추가로 변경할 수 있다.
일 실시형태에서, 사전에 연관된 동작은 사용자 장비 상의 레거시 펌웨어로 생성된 레거시 패킷의 상단에서 작동하도록 개조된다. 여기서 레거시 펌웨어란 펌웨어 업데이트 주기에서 제외되어 가치가 떨어진 장치에 설치된 펌웨어이다. 이러한 레거시 펌웨어는 여러 결점 중에서 무엇보다 보안 소켓 계층(이하 SSL) 또는 전송 계층 보안(이하 TLS)의 128비트 또는 264비트 암호화 부호와 같은 모범 사례를 충족하지 않을 수 있다. 이러한 개조는 어떤 레거시 암호화든 복호화하는 사전에 연관된 동작을 포함하거나, 이러한 레거시 펌웨어에서 사용하는 레거시 데이터 형식으로 작동할 수 있으며/있거나, 어떤 레거시 암호화를 통해서든 작동하도록 설계된 명령어에 따라 레거시 패킷 상단에서 작동하는 것을 포함할 수 있다.
패킷은 많은 부분을 포함할 수 있다. 본 발명의 목적을 위해, 패킷은 의도된 수신자에 의한 사용을 위한 데이터를 갖는 페이로드를 적어도 포함한다. 패킷은 수신기/목적지 정보와 같은 메타데이터가 있는 헤더를 추가로 가질 수 있다. 패킷 헤더는 또한 패킷 발신자와 관련된 정보를 가질 수 있다. 패킷 발신자는 패킷을 전송한 사용자 장비의 가입자 ID에 대한 정보를 제공하거나 이 가입자 ID와 동일할 수 있다. 패킷이 암호화되면 헤더는 암호화되지 않은 상태로 유지되지만 페이로드는 암호화된다. 패킷에 헤더가 있는지 여부에 관계없이, 패킷은 논의된 바와 같은 헤더를 사용하거나 패킷이 가입자 ID와 연관된 데이터 세션의 일부인 점에 의해 네트워크 운영자에 의해 항상 가입자 ID와 연관될 수 있다.
가입자 ID는 주로 국제 모바일 가입자 ID(이하 IMSI) 번호를 의미하지만, 사용자 장비 또는 모바일 장비/센서 장비를 확실하게 식별하는 임의의 코드, 숫자 또는 기타 데이터, 예를 들어 집적회로 카드 식별자(이하 ICCID), 가입자 ID/식별 모듈(이하 SIM), 가입자 식별 모듈 ID(이하 SIM ID), 국제 모바일 장비 ID(이하 IMEI) 번호, 또는 임의의 그러한 확실한 식별 정보 또는 번호, 종료지점 식별자(이하 EID), 소스 인터넷 프로토콜(이하 IP) 주소 또는 기타 임의의 그러한 확실한 식별 정보일 수 있다. 일 실시형태에서, 가입자 ID는 IMSI, SIM ID, ICCID, SIM 또는 IMEI이다. 일 실시형태에서, 가입자 ID는 가입자를 확실하게 식별하며, 따라서 예를 들어 SIM ID 또는 IMSI 번호일 수 있다. 일 실시형태에서, 가입자 ID는 IMSI 번호이다.
공용 인터넷은 일반적으로 인터넷이라고 하는 네트워크를 의미하며, 여기서는 SSL/TLS와 같은 특정 암호화 프로토콜이 표준이자 규칙이 되었다.
모바일 네트워크 및 통신 네트워크라는 용어는 본 개시 전반에 걸쳐 동의어로 사용되어, 가입자 기반으로 전 세계에 걸쳐 모바일 장치에 서비스를 제공하는 통신 네트워크의 임의의 세대를 나타낸다. 나타낸 네트워크에는 회선 교환 도메인 이상이 필요하며 패킷 교환 방식이 바람직하다. 본 개시에서, 적어도 2G는 이에 속하며, 3G, 4G, 5G 및 그 중간 세대 역시 이에 속한다.
2G, 3G, 4G 및 5G와 같이 기능과 인프라가 부분적으로 겹치는 여러 통신 네트워크가 존재한다. 이들 모두의 공통점은 이들이 가입자 기반이고 적어도 부분적으로는 상업적 당사자에 의해 운영되며, 이들 중 일부는 액세스 네트워크 인프라, 액세스 네트워크 및/또는 네트워크 코어 간의 통신을 설치하거나, 또는 네트워크 코어의 하나 이상의 서비스를 운영한다. 특정 프로토콜, 예를 들어 암호화 요구사항 및 패킷 형식 및/또는 구조가 그러한 운영자 중심 네트워크에서 통신을 위해 설정된다. 위성 네트워크 및 위성을 포함하는 네트워크도 다룬다.
임의의 유형 또는 브랜드의 사용자 장비가 본 발명과 함께 사용될 수 있다. 유용한 예로는 센서 장비/센서 장치/센서 모듈이 있다. 컨테이너 선박의 센서 장비는 민감한 화물의 온도와 압력을 측정할 수 있다. 본 발명은 장치가 여러 네트워크를 통해 이동하기 때문만이 아니라 또한 장치가 따라서 더 작고 더 단순할 수 있으며 설치된 센서의 수명이 연장될 수 있기 때문에 거기에서 이점이 있다.
센서 장비는 지속적인 감지를 위해 풍력 터빈에 설치될 수 있으며, 따라서 소형 장치인 점 및/또는 배터리 수명이 더 길다는 점을 활용할 뿐 아니라 수동 검사 및 업데이트의 필요성 없이 펌웨어를 업데이트할 수 있다. 군사 및 경찰 장비는 강화된 보안의 이점을 누릴 수 있다. 보안에 민감한 다른 용도는 패킷 가로채기의 위험이나 두려움이 있는 사용된 사용자 장치가 될 수 있으며, 여기서 본 발명은 목적지와 같은 전송 메타데이터를 제거함으로써 패킷이 변조 방지되도록 한다.
이하, 본 발명의 범위를 제한하는 것으로 생각해서는 안 되는 본 발명의 예시적인 실시형태를 통해 본 발명에 대해 상세히 설명한다.
일 실시형태에서, 방법은 공용 인터넷을 통해 데이터 패킷을 전송하는 단계를 더 포함한다. 이에 의해, 패킷은 기존 채널을 통해 수신자에게 쉽게 전송되는 한편 네트워크 코어에서 정교한 데이터 가공을 허용한다. 패킷은 SSL 및/또는 TLS와 같은 관련 모범 사례 암호화와 함께 공용 인터넷을 통해 전송되는 것이 바람직하다. 패킷은 수신자가 결정한 목적지로 전송되는 것이 바람직하다.
일 실시형태에서, 미리 결정된 동작은 공용 인터넷 암호화 프로토콜에 따라 패킷을 암호화하는 것, 또는 상기 패킷의 패킷 데이터를 수정함으로써 수정된 패킷을 생성하는 것 중 적어도 하나를 포함한다.
이에 의해, 네트워크 코어는 모든 사용자 장치가 자체적으로 이 연산을 수행할 수 있도록 요구하지 않고 통신사 네트워크로부터 처리된 데이터를 제공함으로써 센서 장치와 같은 사용자 장치에 대한 연산 요구를 줄이는 데 활용된다. 이는 더 저렴하고 더 작고 보다 안정적인 장치를 가능하게 한다.
일 실시형태에서, 제2 식별자는 사전 공유 키, 개인 키 또는 로그인 자격 증명과 같은 공용 인터넷 암호화 프로토콜을 준수하는 키 또는 인증자이다. 이에 의해, 장치의 ID는 패킷이 손상된다 하더라도 장치 노출의 위험 없이 공용 인터넷을 통해 안전하게 전송될 수 있다.
일 양태에서, 본 발명은 본 발명의 방법의 단계들을 수행하기 위한 수단을 포함하는 연산 유닛에 관한 것이다. 이에 의해, 전통적으로 사용자 장비에 부가된 SSL/TLS 암호화 계층을 제거함으로써 작고, 오래 지속되며 저렴한 사용자 장비를 가능하게 하는 동시에 네트워크 코어에서 더 쉽고 더 나은 제어를 제공하는 시스템이 제공된다. 패킷은 추가로 더욱 변조 방지된다.
일 양태에서, 본 발명은 프로그램이 연산 유닛에 의해 실행될 때 연산 유닛이 본 발명의 단계를 수행하게 하는 명령어를 포함하는 컴퓨터 프로그램에 관한 것이다.
일 양태에서, 본 발명은 연산 유닛에 의해 실행될 때 연산 유닛이 본 발명의 단계를 수행하게 하는 명령어를 포함하는 컴퓨터 판독가능 저장 매체에 관한 것이다.
실시예 A - 암호화
일 실시형태에서, 방법은,
- 미리 결정된 동작이 공용 인터넷 암호화 프로토콜에 따라 패킷을 암호화하는 것을 포함하는 것, 및
- 선택사항으로 패킷을 공용 인터넷을 통해 전송하는 것
을 더 포함한다.
이에 의해, 사용자 장비는 연산량이 많은 암호화를 수행할 필요가 없는 반면 패킷은 관련이 있는 경우 인터넷에 대해 여전히 암호화된다.
이는 여러 가지 이점을 제공한다. 사용자 장비에 필요한 연산 능력을 줄여 장치 크기와 비용을 절감한다. 통신사 전송 요구사항을 줄여, 더 적은 패킷과 더 적은 총 데이터 볼륨을 사용하면서 동일한 페이로드가 전송될 수 있도록 한다. 배터리 소모를 줄여 배터리 크기와 비용을 줄이며 따라서 배터리 수명을 늘린다. 전통적으로 암호화 표준이 변경될 때마다 준수해야 하는 값비싸고 어려운 펌웨어 업데이트를 없앤다. 또한 이러한 펌웨어 업데이트가 '연산에 약한' 사용자 장비에서 더 이상 가능하지 않을 때 장치를 무용지물로 만드는 것을 방지한다.
공용 인터넷 대신에, 추가된 암호화 계층은, 암호화 계층이 패킷이 통과하여 라우팅되도록 의도된 특정 채널/네트워크를 준수하는 한, 다른 임의의 영역을 따를 수 있다.
일 실시형태에서, 상기 패킷은 실질적으로 통신사 네트워크의 암호화 프로토콜만을 따르는 암호화를 포함한다.
일 실시형태에서, 공용 인터넷 암호화 프로토콜은 보안 소켓 계층 프로토콜 또는 전송 계층 보안 프로토콜이다. 일 실시형태에서, 공용 인터넷 암호화 프로토콜은 전송 계층 보안 프로토콜이다.
필요한 경우, 일부 유형의 사용자 장비는 여전히 비교적 간단한 암호화를 수행하도록 프로그래밍될 수 있고, 이는 통신사 네트워크 운영자가 평문 패킷을 검색하는 것을 어렵거나 불가능하게 하며, 또는 다른 이유로 단순 암호화가 수행될 수 있다. 그러면 네트워크 코어에 적용된 암호화가 이 수신기 암호화 계층의 '상단'에 단순히 추가된다. 언급된 이점을 제공하는 데이터 전송 요구사항의 감소는 그대로 유지된다.
일 실시형태에서, 통신사 암호화 계층을 제외하고 수신된 패킷의 모든 추가 암호화 계층은 127비트 이하의 키 길이를 갖는다. 일 실시형태에서, 수신된 패킷의 통신사 암호화를 제외한 모든 추가 암호화 계층은 256비트 이하, 255비트 이하, 250비트 이하, 195비트 이하, 190비트 이하, 127비트 이하, 125비트 이하, 120비트 이하, 111비트 이하, 110비트 이하, 105비트 이하, 55비트 이하, 50비트 이하, 39비트 이하, 35비트 이하, 15비트 이하, 7비트 이하 또는 3비트 이하의 키 길이를 갖는다. 이에 의해, 모든 패킷에 대해 더 많은 페이로드 데이터를 전송할 수 있으므로, 네트워크 및 사용자 장비에서 전송 요구사항, 계산 시간, 배터리 소모 등을 줄일 수 있다.
실시예 B - 패킷 재라우팅
일 실시형태에서, 방법은,
- 패킷이 선택사항으로 원래 패킷 목적지를 포함하고, 그 다음으로 상기 미리 결정된 동작은 패킷의 어떤 원래 패킷 목적지와도 상이하며 또한 이를 대체하는 수신자 패킷 목적지를 상기 패킷에 제공하는 것을 포함하는 것, 및
- 선택사항으로 패킷을 수신자 패킷 목적지로 전송하는 것
을 더 포함한다.
패킷에는 원래 목적지 주소가 전혀 없거나, 네트워크 코어 내에 목적지 주소가 있거나, 네트워크 코어 외부에 목적지 주소가 있을 수 있다. 운영자는 패킷을 선택하고, 동작 데이터베이스와 비교하여 평가하며, 패킷을 교환하거나 미리 결정된 수신자 목적지를 패킷에 제공한다.
일 실시형태에서, 상기 수신자 패킷 목적지는 공용 인터넷을 통해 도달된다.
이것은 사용자 장비가 패킷을 전송하고자 의도하는 위치에 대한 정보를 갖지 않도록 한다. 기존의 사용자 장비에는 암호화 프로토콜 및 주소가 포함된 정교한 펌웨어가 설치되어 있으며, 이들 둘 다 사설 서버에 액세스하려는 악의적인 제3자에게 유용한 정보이다. 악의적인 제3자가 기존 사용자 장비에 대한 제어를 획득하는 경우, 해당 당사자는 펌웨어를 리버스 엔지니어링하거나 펌웨어를 직접 사용할 수 있으며 사설 서버에 대한 액세스를 획득할 수 있다.
일 실시형태에서, 수신된 그대로의 패킷은 목적지를 갖지 않으며, 미리 결정된 동작은 수신자 패킷 목적지를 상기 패킷에 제공하는 것을 포함한다.
일 실시형태에서, 수신된 그대로의 패킷은 원래 목적지를 갖고, 미리 결정된 동작은 상기 원래 패킷 목적지를 상기 원래 목적지와 상이한 수신자 패킷 목적지로 대체하는 것을 포함한다.
패킷 목적지가 사용자 장비 외부에서 그러나 네트워크 코어 내에서 처리되는 경우, 사용자 장비에 펌웨어를 설치할 필요가 없다. 대신에, 어떤 그러한 펌웨어든 동작 데이터베이스와 같은 네트워크 코어에 설치될 수 있다. 따라서 주소나 암호화 프로토콜을 찾기 위해 변조할 펌웨어가 없다. 일 실시형태에서, 그러한 사용자 장비로부터 전송된 데이터, 예를 들어 1차 센서 데이터는 가능한 한 비처리된다. 예를 들어, 온도 센서 데이터는 하드웨어에 따라 달라지는 임의의 두 지점 사이의 전도도 측정값으로 전송될 수 있으며, 그 후 네트워크 코어 내에서 섭씨온도(원시 센서 데이터)로의 변환이 수행된다. 이렇게 하면 주어진 사용자 장비에서 가능한 한 많은 전후관계를 제거하게 되어 변조를 훨씬 덜 유용한 것으로 만들 것이다.
본 개시에서, 목적지와 주소는 패킷 전송의 의도된 종료지점을 기술하기 위해 상호교환가능하게 사용된다. 수신자 목적지/수신자 주소는 실시예 A에 대해 설명한 바와 같이 공용 인터넷을 통해, 또는 통신사 네트워크 자체를 통하는 것과 같이 다른 편리한 채널을 통해 도달될 수 있다.
일 실시형태에서, 수신자 패킷 목적지는 존재하지 않는 목적지일 수 있다. 다시 말해서, 이 실시형태에서, 본 발명은 패킷을 보유하고 그것을 보관 또는 삭제하는 것에 관한 것이다. 이 패킷 보유는 바람직하게는 주어진 패킷에 대해 가능한 일련의 동작 중 하나이며, 그렇다면 이러한 패킷 보유는 패킷 또는 페이로드 분석에 의존한다. 패킷 보유는 네트워크 코어에서 수행된다.
실시예 C - 페이로드 수정
일 실시형태에서, 방법은,
- 상기 패킷의 패킷 데이터를 수정하여 수정된 패킷을 생성하는 것, 및
- 선택사항으로 수정된 패킷을 수신자에게 전송하는 것
을 더 포함한다.
수정은 변형에 의한 변경, 추가, 삭제 및 기타 유형의 변경을 포괄한다. 패킷 데이터를 수정하는 것은 페이로드 데이터를 수정하는 것과 헤더, 패딩 및/또는 목적지와 같은 다른 패킷 데이터를 수정하는 것을 포함한다.
일 실시형태에서, 상기 패킷을 수정하는 것은 상기 페이로드 데이터를 수정하는 것을 포함한다. 페이로드를 수정하는 것에는 패킷에 대해 수행할 수 있는 여러 동작이 포함되며, 그 중 일부를 아래에서 설명한다.
일 실시형태에서, 수신된 패킷은 원시 센서 데이터 또는 1차 센서 데이터를 포함한다.
일 실시형태에서, 패킷을 수정하는 것은 패킷의 1차 센서 데이터를 원시 센서 데이터로 변환하는 것을 포함한다.
여기에서 1차 센서 데이터는 하드웨어에 따라 달라지는 데이터로서, 예를 들어 하드웨어에 따라 달라지는 임의의 두 지점 사이의 전도도 측정값을 기술하는 이진 데이터이다. 이러한 센서 회로 전도도는 예를 들어 온도 센서의 온도, 또는 빛 또는 모션 센서의 환경 밝기에 매핑될 수 있다. 여기에서 원시 센서 데이터는 하드웨어와 무관한 데이터로서, 예를 들어 섭씨, 켈빈 또는 화씨와 같은 어떤 단위로든 온도를 나타내는 숫자이거나, 또는 밝기/조명의 루멘이다. 1차 센서 데이터를 원시 센서 데이터로 변환하는 것은 센서 하드웨어별 테이블/기능을 참조하는 것, 예를 들어 전도도 및 온도 또는 전도도 및 밝기를 매핑하는 것을 포함한다. 이러한 변환은 전통적으로 센서 모듈 마이크로프로세서에 의해 수행된다.
네트워크 코어에서 1차 센서 데이터를 원시 센서 데이터로 변환함으로써 사용자 장비는 자체 계산을 수행하는 사용자 장비보다 더 작고 가벼우며 저렴할 수 있다. 패킷 및 페이로드 데이터는 추가적으로 더욱 변조 방지될 수 있는데, 왜냐하면 이러한 1차 센서 데이터는 하드웨어에 따라 달라지며 전후관계 없이는 무의미하기 때문이다.
일 실시형태에서, 페이로드 데이터를 수정하는 것은 특이값 및/또는 오류 판독값에 대해 원시 센서 데이터를 클리닝함으로써 원시 센서 데이터를 클리닝된 센서 데이터로 변환하는 것을 포함한다. 이는 사용자 장비에 의해 패킷에 제공된 원시 센서 데이터 위에 수행되거나, 네트워크 코어의 1차 센서 데이터에서 생성된 원시 센서 데이터에 대해 수행될 수 있다. 원시 센서 데이터를 클리닝하여 클리닝된 데이터를 생성함으로써 불필요한 데이터를 제거하여 전송 요구사항을 줄일 수 있다.
일 실시형태에서, 상기 미리 결정된 동작은 수정된 패킷을 생성하는 것을 포함하고, 여기서 상기 수정된 패킷은 상기 패킷의 페이로드 데이터를 분석하고 상기 분석에 기초하여 상기 패킷 데이터를 수정함으로써 생성된다.
이에 의해, 사용자 장치로부터 전송된 데이터에 대해 정교한 분석을 수행할 수 있다. 예를 들어, 이는 데이터 분석을 위해 데이터를 공용 인터넷을 통해 사설 서버로 전송해야 하는 상황에 비해 전달을 정성적으로 가속화하는 특정 값에 따라 오류 또는 비상 신호를 다르게 전송할 수 있도록 한다. 또한, 미리 결정된 동작이 패킷 데이터 분석에 기초하여 수신자를 변경하는 것을 포함하는 경우, 이러한 재라우팅은 패킷의 수신자 수신을 정성적으로 더욱 가속화한다.
일 실시형태에서, 페이로드 데이터는 통계적 분석 또는 결과의 그룹화와 같은 경향에 대한 분석을 받게 된다. 일 실시형태에서, 페이로드 데이터는 중앙값, 정상값 또는 평균값의 발견/평가와 같은 경향에 대한 통계적 분석을 받게 된다.
일 실시형태에서, 페이로드에 대해 테스트를 수행하고, 페이로드에 특정 값이 있으면 하나의 변경을 수행하고, 페이로드에 다른 값이 있으면 다른 변경을 수행한다. 간단한 오버/언더 테스트를 수행하거나, 입력 값의 결과로 기능이 변경되는 복잡한 계산을 수행할 수 있다.
일 실시형태에서, 패킷 데이터는 패킷 페이로드의 데이터 분석에 기초하여 압축된다. 예를 들어 특정 센서 판독값이 동일한 값을 반복하는 경우 이들은 여러 타임스탬프를 갖는 단일 판독값으로 묶일 수 있다.
일 실시형태에서, 패킷이 수신 및 분석되고, 데이터는 원래의 패킷 분할에 관계없이 네트워크 코어로부터 재전송된다.
일 실시형태에서, 극도로 부담되는 계산이 네트워크 코어에서 패킷에 대해 수행된다. 이러한 계산은 기존의 사용자 장비에서 구현하는 데 엄청난 비용이 소요될 수 있다. 본 발명의 실시형태에서, 블록체인 계산이 네트워크 코어의 패킷에 대해 수행된다. 이에 의해, 센서 데이터를 추적하고 변조 방지 방식으로 수집 및 처리할 수 있다.
일 실시형태에서, 패킷을 수정하는 것은 패킷 페이로드를 수정하는 것으로 구성된다.
예 D - 사용자 채널
일 실시형태에서, 방법은 공개적으로 액세스 가능한 통신 채널을 상기 동작 데이터베이스에 제공하는 것을 더 포함하며, 여기서 상기 가입자 ID는 사용자 프로파일에 속하고, 상기 사용자 프로파일을 사용하여 상기 통신 채널에 액세스하는 사용자는 상기 사용자 프로파일에 속하는 가입자 ID와 연관된 미리 결정된 동작을 수정하도록 허용된다.
채널은 장비 소유자와 관리자가 장비의 작동 상태를 제어할 수 있는 방법을 제공한다. 채널은 로그인이 있는 사용자 친화적인 웹 페이지일 수 있으며 로그인 뒤에는 사용자에게 속한 모든 가입자 ID에 대한 정보가 있는 사용자 페이지가 있다. 채널은 또한 애플리케이션 프로그래밍 인터페이스를 제공하는 등의 다른 수단을 통해 공용 인터넷에서 액세스하는 것과 같은 다른 수단을 통해 액세스 가능한 주소일 수도 있다. 사용자 프로파일은 복수의 가입자 ID 및 복수의 미리 결정된 동작을 가질 수 있다.
이에 의해, 장비 운영자 또는 소유자 등의 사용자는 네트워크 코어의 프로그래밍에 액세스하고 이를 수정하여 업데이트를 설치하거나 사용자 장비 패킷 수정 규칙을 적절하게 변경할 수 있다. 이러한 변경은 모든 사용자 장비에 걸쳐 즉각적으로 그리고 장치 업데이트 등에 대한 오류 위험 없이 적용된다. 일 실시형태에서, 미리 결정된 동작의 수정은 대안적인 동작들 중에서 선택을 허용하는 사용자 친화적인 인터페이스를 포함한다. 일 실시형태에서, 미리 결정된 동작의 수정은 사용자가 펌웨어와 인터페이싱할 수 있게 해주는 애플리케이션 프로그래밍 인터페이스를 제공하는 것을 포함한다.
이는 통신사 네트워크에서 가볍고 변조 방지된 패킷 전송을 유지하면서 미리 결정된 동작을 편리하고 사용자 친화적으로 제어할 수 있게 한다.
이하 예시적인 실시형태를 본 발명에 따라 설명하며, 여기서
도 1은 모바일 네트워크를 통한 패킷 전송의 종래기술 개략도이고,
도 2는 본 발명의 일 실시형태에 따른 모바일 네트워크를 통한 패킷 전송의 개략도이며,
도 3은 본 발명의 일 실시형태에 따른 패킷 전송의 흐름도이고,
도 4는 본 발명의 일 실시형태에 따른 코어 연산 유닛의 개략도이다.
이하, 본 발명의 범위를 제한하는 것으로 생각해서는 안 되는 실시형태를 통해 본 발명에 대해 상세히 설명한다.
도 1은 광대역 통신사 네트워크와 같은 기존의 통신/통신사 네트워크(1) 및 통신사 네트워크를 통해 전송되는 패킷(50)의 개략도이다. 통신사 네트워크(1)는 액세스 네트워크(20)와 통신하는 사용자 장비(10)를 포함한다. 액세스 네트워크(20)는 무선 액세스 네트워크일 수 있고 전송된 패킷(50)에 대해 통신사 네트워크 동작을 수행하는 네트워크 코어(30)에 사용자 장비(10)를 연결할 수 있다. 추가로, 예를 들어 공용 인터넷(40)에, 전송된 패킷의 경우, 이는 네트워크 코어(30)를 통해서도 도달된다. 사설 서버(41)는 공용 인터넷(40)을 통해 도달할 수 있다.
사용자 장비(10)는 네트워크 상의 가입자를 식별하기 위한 SIM(12)을 가지며, 이는 통신사 네트워크(1)의 내부적인 기능인 과금, 네트워크 액세스 및 기타 프로토콜에 중요하다. 이러한 SIM(12)은 물리적 카드 또는 내장된 SIM일 수 있으며 편리하게는, 여러 요소들 중에서도 특히, 가입자를 고유하게 식별하는 국제 모바일 가입자 ID(IMSI)를 포함한다. 사용자 장비(10)는 스마트폰 또는 태블릿과 같은 모바일 장치일 수 있다. 아래의 설명에서는 통신사 네트워크(1)가 최상의 또는 유일한 커버리지를 제공하는 원격 영역에서 센서 데이터를 전송하도록 구성된 센서 모듈로 가정한다. 이러한 센서 모듈은 실시간 온도 데이터, 위치 데이터, 이미지 또는 지속적으로 또는 간헐적으로 검색하는 것이 가치가 있을 수 있는 기타 그러한 유형의 센서 데이터를 전송하기 위해 컨테이너에 장착될 수 있다.
데이터 패킷(50)은 모바일 장비(13) 센서에 의해 생성된 센서 데이터 조각일 수 있다. 따라서 사용자 장비(10)가 종래 기술에 따라 통신사 네트워크(1)를 통해 전송될 원거리 수신자를 위한 패킷(50)을 생성할 때, 기존의 프로세스는 다음과 같다. 패킷(50)은 사설 서버(41)의 수신자에게 전송하기 위해 준비된다.
처음에, 패킷(50)은 사용자 장비(10)에서 준비되며, 이에는 인터넷 암호화 계층(51)을 추가하는 것이 포함된다. 이러한 사용자 장비(10)는 일반적으로 사설 서버(41) 운영자에 의해 개발된 펌웨어를 사용하여 이 암호화를 적용하도록 미리 프로그래밍된다. 엄격한 공용 인터넷(40) 암호화 요구사항을 준수하기 위해 이 인터넷 암호화 계층(51)은 연산량이 많은 동시에 데이터량도 많다. 이러한 암호화는 일반적으로 SSL 또는 TLS이다.
패킷은 페이로드 및 수신자 주소를 포함하며, 이를 사용하여 통신사 네트워크는 일련의 전송을 통해 패킷을 종단의 수신자 목적지로 라우팅할 수 있다. 광대역 통신사 네트워크(1)와 같은 가입자 네트워크에는, 예를 들어 네트워크에 있는 동안 아무도 패킷(50)의 내용에 액세스할 수 없음을 확실히 하는 것과 같은 다양한 암호화 요구를 충족시키기 위해, 다양한 프로토콜이 필요하다. 가입자 ID 또는 장치 ID를 사용하여 통신사 암호화 계층(52)이 사용자 장비에 적용된다. 이는 예를 들어 SIM, IMSI 또는 ICCID일 수 있다.
패킷(50)은 사설 서버(41)를 향해 이동할 때 네트워크 코어(30)를 통과하며, 여기서 가입자 ID는 통신사 암호화(52)를 암호화 해제하기 위해 특정 사용자 장비(10)의 서비스 제공자에 의해 다시 사용된다.
통신사 암호화 계층(52)의 암호화를 해제한 후 패킷(50)은 여전히 인터넷 암호화 계층(51)을 가지며 그 후 공용 인터넷(40)을 통해 사설 서버(41)로 전송된다. 사설 서버(41)에서 인터넷 암호화(51)는 그 후에 펌웨어를 사용하여 복호화된다.
이제, 사설 서버(41)의 수신기는 센서 데이터 검증, 분석 및 기타 유형의 데이터 가공을 위해 패킷(50)의 묶음을 해제했다. 그런 다음 여러 패킷(50)이 전송되고, 패킷의 페이로드 데이터는 암호화되지 않은 경우 연속적인 센서 판독값, 간격 판독값, 그리고 데이터 전송 세션의 일부와 같은 것 등을 구성할 수 있으며, 패킷은 네트워크에서 실용적이거나 표준인 것이 무엇이냐에 따라 판독값의 일부 또는 여러 판독값 또는 데이터 파일의 다른 부분을 포함할 수 있다.
암호화 계층(51, 52)은 패킷 크기를 상당히 증가시켜 사용자 장비(10) 및 통신사 네트워크(1) 자원에 대한 부하를 증가시킨다. 암호화되지 않은 패킷과 암호화된 패킷의 차이는 데이터 크기에서 최소한 1:10 또는 1:100이 될 수 있다. 더욱이, 암호화 표준을 강화하면 필요한 연산 능력을 따라잡기 위해 사용자 장비(10)의 능력이 점점 더 커질 필요가 있다.
도 2는 본 발명에 따른 통신사 네트워크(1)를 통한 패킷 전송을 도시한다. 통신사 네트워크(1) 자체는 실질적으로 동일하다. 본 발명의 방법은 많은 상황에서 유용한 것으로 간주되며, 그 중 하나는 센서 장비(14)와 함께 사용될 때, 원격으로 위치할 때, 또는 통신사 네트워크(1)가 안정성 또는 대역폭을 제공할 수 있는 간헐적인 WIFI 또는 인터넷 커버리지가 있는 위치에서이다. 이는 또한 그러한 센서 장비가 고정적으로 설치될 수 있다는 점을 도시한다.
보는 바와 같이, 사용자 장비(10)는 인터넷 암호화 계층을 제공하지 않아도 된다. 그 대신에, 통신사 네트워크(1)를 통해 적절한 암호화를 유지하기 위해 통신사 암호화 계층(52)이 단독으로 사용된다. 네트워크 코어(30)에는, 가입자 ID 목록 및 매칭되는 동작 목록을 포함하는 동작 데이터베이스(31)가 제공된다. 네트워크 코어에서 패킷(50)이 수신되면 통신사 암호화 계층(52)이 복호화되고 동작 데이터베이스(31)가 참조되어 패킷 발신자를 식별하고 이를 미리 결정된 동작 또는 일련의 동작과 매칭시킨다.
패킷(50)은 페이로드를 변조 방지되도록 하기 위해 수신자 암호화 계층(55)에 따라 사용자 장비(10)에서 여전히 암호화될 수 있다. 그러나 이 암호화는 인터넷 표준을 준수할 필요가 없다. 또한, 그러한 수신자 암호화 계층(55)이 제공되는 경우, 패킷(50)에 대해 수행되는 분석 및 동작은 마찬가지로 이를 고려하도록 구성된다. 다시 말해, 통신사 암호화가 복호화된 후 패킷(50)에 남아 있는 모든 암호화는 네트워크 코어(30)에서 수행되는 동작과 관련하여 투명할 수 있다. 이는 네트워크 코어(30)의 운영자가 패킷(50)을 이해할 수 있다는 것을 의미하지 않으며, 단지 네트워크 코어(30)의 운영자는 임의의 남아 있는 암호화 계층(55)을 통해 또는 그 위에서 패킷(50)에 대해 작동하는 도구를 제공받았을 뿐이다.
일 실시형태에서, 패킷의 가입자 ID는 특정 가입자 ID에 대한 미리 결정된 매핑을 가지며 공용 인터넷을 통해 전송할 때 유용하거나 편리하도록 구성된 매핑된 식별자로 대체된다. 이러한 매핑된 식별자는 암호화 사전 공유 키, 암호화 개인 키 또는 심지어 사용자 로그인 자격 증명일 수 있다. 어떤 경우든, 수신자가 패킷을 수신할 때, 매핑된 식별자는 가입자 ID와의 미리 결정된 관계를 통해 사용자 장비를 찾을 수 있도록 한다.
공용 인터넷(40)을 통해 사설 서버(41)로 전송되는 패킷(50)의 경우, 이러한 일련의 동작은 바람직하게는 SSL 또는 TLS와 같은 공용 인터넷의 암호화 프로토콜을 따르는 인터넷 암호화 계층인 수신자 암호화 계층(54)을 적용하는 것을 포함하는 것이 바람직하다.
통신사 네트워크(1)의 사용자 장비(10)와 수신자 사이에 연산 유닛을 제공함으로써 많은 추가 옵션이 가능해진다. 그러한 연산 유닛은 네트워크 코어(30)에 배치되고 패킷(50)의 임의의 암호화 계층을 통해 작동하거나 수신자 암호화 계층(54)을 패킷에 적용한다. 연산 유닛은 최소한의 암호화가 필요한 시점에, 그리고 암호화 요구사항이 가장 부담스러워지기 이전인 공용 인터넷(40)에서, 이 작업을 수행한다.
본 발명이 작동하는 한 가지 방식은 사용자 장비의 연산 능력을 확장하여 네트워크 코어(30)의 연산 능력을 포함하도록 하는 것이다.
도 3은 본 발명의 실시형태 방법의 흐름도이다. 방법은 네트워크 코어(30)에서 사용자 장비(10)로부터 패킷(50)을 수신하는 것으로 시작한다. 패킷 발신자는 네트워크 상의 가입자이고, 패킷은 특정 사용자 장비(10) 소유자 또는 그 하청업체의 사설 서버와 같은 목적지를 가질 수 있다. 대안적으로, 통신사 네트워크 운영자는 항상 가입자의 패킷을 가로챌 수 있고, 따라서 목적지가 없는 패킷도 여전히 네트워크 코어(30)에 도착할 것이다.
다음으로, 통신사 암호화 계층(52)은 통신사 네트워크의 프로토콜을 사용하여, 예를 들어 패킷을 복호화하기 위해 가입자 ID을 사용하여 복호화된다. 통신사 네트워크의 암호화 프로토콜과 일치하는 임의의 복호화 체계를 복호화 단계에서 사용할 수 있다. 이는 방법이 통신사 네트워크의 규정을 준수하고 추가 프로세싱을 위해 패킷을 준비하도록 보장한다.
그 다음, 네트워크 코어(30)에 저장된 동작 데이터베이스(31)가 참조된다. 가입자 ID는 그 특정 가입자 ID에 대해 수행할 일련의 미리 결정된 동작을 일치시키는 데 사용된다. 이들 동작은 사용자 장비의 특정 구현예에 기반한 수신자에 의해 또는 그러한 수신자를 위해 설계된다. 컨테이너 선박에 있는 센서 모듈로부터의 센서 데이터는 선박 또는 컨테이너 관리자에게 전송되기 전에 일련의 동작을 수행하는 반면, 펌프 작동 센서는 펌프 운영자에게 전송되기 전에 다른 일련의 동작을 필요로 할 수 있다.
동작 또는 동작 목록이 식별된 후, 통신사 네트워크의 네트워크 코어에서 동작이 수행된다.
대부분의 패킷은 그 후 수신자 목적지로 전송된다.
도 4는 본 발명에 따른 코어 연산 유닛의 개략도이다. 액세스 네트워크(20)는 사용자 장비(10)에서 전송된 패킷(50)을 포착한다. 그런 다음 패킷은 통신사 네트워크를 통해 라우팅되며 결국 네트워크 코어(30)로 전달되고 네트워크 인터페이스(34)를 통해 코어 연산 유닛(36)으로 전달된다. 코어 연산 유닛(36) 통신사 네트워크 상의 트래픽에 대해 다양한 동작을 수행하도록 구성된, 네트워크 코어(30)에 위치한 연산 유닛이다.
코어 연산 유닛(36)은 명령어를 수행하기 위한 프로세서(33) 및 명령어의 수행에 필요한 데이터를 저장하기 위한 메모리(35)를 갖는다. 코어 연산 유닛(36)은 추가로 동작 데이터베이스(31) 및 적어도 연관된 다른 데이터베이스(32)를 가지며 이들을 참조할 수 있다. 패킷이 코어 연산 유닛(34)에 도착하면, 통신사 암호화가 복호화된 후, 코어 연산 유닛(36)이 특정 패킷(50)으로 무엇을 해야 하는지 알아내기 위해 동작 데이터베이스(31)가 참조된다. 이러한 동작은 기본적으로 모든 가입자 ID에 대해 고유하거나, 단일 동작 또는 일련의 동작이 예를 들어 동일한 수신자에게 속하는 경우처럼 일련의 가입자 ID에 기인할 수 있다.
코어 연산 유닛(36)이 패킷(50)에 대해 규정된 동작을 수행했을 때, 그때 잠재적으로 수정된 패킷(50')은 의도된 목적지로 추가적으로 전송된다.

Claims (15)

  1. 컴퓨터-구현 방법으로서,
    - 통신 네트워크(1)의 액세스 네트워크(20)를 통해 사용자 장비(10)로부터 패킷(50)을 수신하는 단계로서, 상기 패킷(50)은 상기 사용자 장비(10)의 가입자 ID 및 상기 통신 네트워크(1)의 암호화 프로토콜을 준수하는 통신사 암호화 계층(52)을 갖는, 상기 패킷을 수신하는 단계,
    - 상기 통신 네트워크(1)의 네트워크 코어(30)에서 상기 가입자 ID를 사용하여 상기 통신 네트워크(1)의 프로토콜에 따라 상기 패킷(50)의 통신사 암호화 계층(52)을 복호화하는 단계,
    - 상기 패킷(50)의 상기 가입자 ID와 사전에 연관된 상기 네트워크 코어(30)의 동작 데이터베이스(31)에 저장된 미리 결정된 동작을 찾는 단계, 및
    - 상기 네트워크 코어(30)에서 상기 패킷(50)에 대해 상기 미리 결정된 동작을 수행하는 단계로서, 상기 미리 결정된 동작은,
    - 상기 패킷의 상기 가입자 ID를 매핑 데이터베이스로부터의 매핑된 식별자로 대체하는 동작으로서, 상기 매핑된 식별자는 상기 가입자 ID에 고유한 것이고 상기 공용 인터넷을 통한 전송 후에 상기 패킷의 수신자에 의해 상기 사용자 장비(10)를 식별 및/또는 인증하는 데 유용한 것인, 동작, 또는
    - 상기 패킷(50)의 페이로드 데이터를 수정하여 수정된 패킷(50')을 생성하는 동작을 포함하는, 상기 미리 결정된 동작을 수행하는 단계
    를 포함하는, 컴퓨터-구현 방법.
  2. 제1항에 있어서, 상기 제2 식별자는 사전 공유 키, 개인 키 또는 로그인 자격 증명과 같은 공용 인터넷 암호화 프로토콜을 준수하는 키 또는 인증자인, 컴퓨터-구현 방법.
  3. 제2항에 있어서, 상기 공용 인터넷 암호화 프로토콜은 보안 소켓 계층 프로토콜 또는 전송 계층 보안 프로토콜인, 컴퓨터-구현 방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서, 상기 미리 결정된 동작은 수정된 패킷(50')을 생성하는 단계를 포함하고, 상기 수정된 패킷(50')은 상기 패킷(50)의 페이로드 데이터를 분석하고 상기 분석에 기초하여 상기 패킷 데이터를 수정함으로써 생성되는, 컴퓨터-구현 방법.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서, 상기 통신사 암호화 계층(52)을 제외하고 상기 수신된 패킷(50)의 모든 추가 암호화 계층(51, 54)은 127비트 이하의 키 길이를 갖는, 컴퓨터-구현 방법.
  6. 제1항 내지 제5항 중 어느 한 항에 있어서, 상기 패킷은 실질적으로 상기 통신사 네트워크(1)의 암호화 프로토콜만을 따르는 암호화를 포함하는, 컴퓨터-구현 방법.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서, 상기 수신된 패킷은 원래 패킷 목적지를 포함할 수 있고, 상기 미리 결정된 동작은 상기 패킷의 어떤 원래 패킷 목적지와도 상이하며 또한 이를 대체하는 수신자 패킷 목적지를 상기 패킷에 제공하는 단계를 포함하는, 컴퓨터-구현 방법.
  8. 제7항에 있어서, 상기 수신자 패킷 목적지는 상기 공용 인터넷을 통해 도달되는, 컴퓨터-구현 방법.
  9. 제1항 내지 제8항 중 어느 한 항에 있어서, 상기 수신된 패킷은 1차 센서 데이터 또는 원시 센서 데이터를 포함하는, 컴퓨터-구현 방법.
  10. 제1항 내지 제9항 중 어느 한 항에 있어서, 상기 미리 결정된 동작은 상기 패킷의 1차 센서 데이터를 원시 센서 데이터로 변환하는 단계를 포함하는, 컴퓨터-구현 방법.
  11. 제1항 내지 제10항 중 어느 한 항에 있어서, 상기 공용 인터넷(40)을 통해 상기 패킷(50)을 전송하는 단계를 더 포함하는, 컴퓨터-구현 방법.
  12. 제1항 내지 제11항 중 어느 한 항에 있어서, 상기 동작 데이터베이스(31)에 공개적으로 액세스 가능한 통신 채널을 제공하는 단계를 더 포함하되, 상기 가입자 ID는 사용자 프로파일에 속하고, 상기 사용자 프로파일을 사용하여 상기 통신 채널에 액세스하는 사용자는 상기 사용자 프로파일에 속하는 가입자 ID와 연관된 미리 결정된 동작을 수정하도록 허용되는, 컴퓨터-구현 방법.
  13. 통신 네트워크(1)의 네트워크 코어(30)에서 패킷을 처리하기 위한 연산 유닛(36)으로서,
    프로세서(33) 및 메모리(35)를 포함하되, 상기 메모리는, 상기 프로세서(33)에 의해 실행될 때,
    - 통신 네트워크(1)의 액세스 네트워크(20)를 통해 사용자 장비(10)로부터 패킷(50)을 수신하는 단계로서, 상기 패킷(50)은 상기 사용자 장비(10)의 가입자 ID 및 상기 통신 네트워크(1)의 암호화 프로토콜을 준수하는 통신사 암호화 계층(52)을 갖는, 상기 패킷을 수신하는 단계,
    - 상기 통신 네트워크(1)의 네트워크 코어(30)에서 상기 가입자 ID를 사용하여 상기 통신 네트워크(1)의 프로토콜에 따라 상기 패킷(50)의 통신사 암호화 계층(52)을 복호화하는 단계,
    - 상기 패킷(50)의 상기 가입자 ID와 사전에 연관된 상기 네트워크 코어(30)의 동작 데이터베이스(31)에 저장된 미리 결정된 동작을 찾는 단계, 및
    - 상기 네트워크 코어(30)에서 상기 패킷(50)에 대해 상기 미리 결정된 동작을 수행하는 단계
    를 포함하는 방법이 수행되게 하는 명령어를 포함하는, 연산 유닛(36).
  14. 컴퓨터 프로그램 제품으로서,
    상기 프로그램이 연산 유닛(36)에 의해 실행될 때, 상기 연산 유닛(36)이,
    - 통신 네트워크(1)의 액세스 네트워크(20)를 통해 사용자 장비(10)로부터 패킷(50)을 수신하는 단계로서, 상기 패킷(50)은 상기 사용자 장비(10)의 가입자 ID 및 상기 통신 네트워크(1)의 암호화 프로토콜을 준수하는 통신사 암호화 계층(52)을 갖는, 상기 패킷을 수신하는 단계,
    - 상기 통신 네트워크(1)의 네트워크 코어(30)에서 상기 가입자 ID를 사용하여 상기 통신 네트워크(1)의 프로토콜에 따라 상기 패킷(50)의 통신사 암호화 계층(52)을 복호화하는 단계,
    - 상기 패킷(50)의 상기 가입자 ID와 사전에 연관된 상기 네트워크 코어(30)의 동작 데이터베이스(31)에 저장된 미리 결정된 동작을 찾는 단계, 및
    - 상기 네트워크 코어(30)에서 상기 패킷(50)에 대해 상기 미리 결정된 동작을 수행하는 단계
    를 포함하는 방법을 수행하게 하는 명령어를 포함하는, 컴퓨터 프로그램 제품.
  15. 컴퓨터 판독가능 저장 매체로서,
    연산 유닛(36)에 의해 판독 및 실행될 때, 상기 연산 유닛(36)이,
    - 통신 네트워크(1)의 액세스 네트워크(20)를 통해 사용자 장비(10)로부터 패킷(50)을 수신하는 단계로서, 상기 패킷(50)은 상기 사용자 장비(10)의 가입자 ID 및 상기 통신 네트워크(1)의 암호화 프로토콜을 준수하는 통신사 암호화 계층(52)을 갖는, 상기 패킷을 수신하는 단계,
    - 상기 통신 네트워크(1)의 네트워크 코어(30)에서 상기 가입자 ID를 사용하여 상기 통신 네트워크(1)의 프로토콜에 따라 상기 패킷(50)의 통신사 암호화 계층(52)을 복호화하는 단계,
    - 상기 패킷(50)의 상기 가입자 ID와 사전에 연관된 상기 네트워크 코어(30)의 동작 데이터베이스(31)에 저장된 미리 결정된 동작을 찾는 단계, 및
    - 상기 네트워크 코어(30)에서 상기 패킷(50)에 대해 상기 미리 결정된 동작을 수행하는 단계로서, 상기 미리 결정된 동작은,
    - 상기 패킷의 상기 가입자 ID를 매핑 데이터베이스로부터의 매핑된 식별자로 대체하는 동작으로서, 상기 매핑된 식별자는 상기 가입자 ID에 고유한 것이고 상기 공용 인터넷을 통한 전송 후에 상기 패킷의 수신자에 의해 상기 사용자 장비(10)를 식별 및/또는 인증하는 데 유용한 것인, 동작, 또는
    - 상기 패킷(50)의 페이로드 데이터를 수정하여 수정된 패킷(50')을 생성하는 동작을 포함하는, 단계
    를 포함하는 방법을 수행하게 하는 명령어를 포함하는, 컴퓨터 판독가능 저장 매체.
KR1020227031027A 2020-02-13 2021-02-12 개선된 패킷 전송 KR20220144820A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DKPA202070083 2020-02-13
DKPA202070083 2020-02-13
PCT/DK2021/050040 WO2021160231A1 (en) 2020-02-13 2021-02-12 Improved packet transfer

Publications (1)

Publication Number Publication Date
KR20220144820A true KR20220144820A (ko) 2022-10-27

Family

ID=74672999

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020227031027A KR20220144820A (ko) 2020-02-13 2021-02-12 개선된 패킷 전송

Country Status (9)

Country Link
US (1) US20230089071A1 (ko)
EP (1) EP4104413A1 (ko)
JP (1) JP2023514252A (ko)
KR (1) KR20220144820A (ko)
CN (1) CN115152180A (ko)
AU (1) AU2021221217A1 (ko)
BR (1) BR112022016079A2 (ko)
IL (1) IL295580A (ko)
WO (1) WO2021160231A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11956368B2 (en) * 2021-12-17 2024-04-09 Advanced Micro Devices, Inc. Enhanced method for a useful blockchain consensus

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9537663B2 (en) * 2012-06-20 2017-01-03 Alcatel Lucent Manipulation and restoration of authentication challenge parameters in network authentication procedures
US20180288179A1 (en) * 2017-04-03 2018-10-04 Randeep S. Bhatia Proxy for serving internet-of-things (iot) devices
US10764089B2 (en) * 2017-08-29 2020-09-01 eperi GmbH Gateway computer system with intermediate data processing according to rules that are specified by templates
WO2020001781A1 (en) * 2018-06-29 2020-01-02 Telefonaktiebolaget Lm Ericsson (Publ) Method and switch node for processing a packet

Also Published As

Publication number Publication date
JP2023514252A (ja) 2023-04-05
EP4104413A1 (en) 2022-12-21
US20230089071A1 (en) 2023-03-23
AU2021221217A1 (en) 2022-09-15
IL295580A (en) 2022-10-01
CN115152180A (zh) 2022-10-04
BR112022016079A2 (pt) 2022-10-04
WO2021160231A1 (en) 2021-08-19

Similar Documents

Publication Publication Date Title
AU2019246774B2 (en) A set of servers for "machine-to-machine" communications using public key infrastructure
AU2018322689B2 (en) Terminal identity protection method in a communication system
CN110800269A (zh) 无反作用地将数据单向传输到远程的应用服务器的设备和方法
US9032203B2 (en) Key setting method, node, server, and network system
CN104618900A (zh) 一种智能设备的网络接入方法、智能设备和移动终端
CN111373702B (zh) 用于现场总线网络与云之间的数据交换的接口装置
US9647876B2 (en) Linked identifiers for multiple domains
US20230361994A1 (en) System and Methods for Secure Communication Using Post-Quantum Cryptography
CN113347198B (zh) Arp报文处理方法、装置、网络设备及存储介质
KR20220144820A (ko) 개선된 패킷 전송
CN112217769B (zh) 基于隧道的数据解密方法、加密方法、装置、设备和介质
US9338089B2 (en) Method and system for using extension headers to support protocol stack migration
CN111262837B (zh) 一种数据加密方法、数据解密方法、系统、设备和介质
US20210195418A1 (en) A technique for authenticating data transmitted over a cellular network
CN107005465B (zh) 国家识别信息附加装置、附加方法以及程序存储介质
CN115334035B (zh) 一种报文转发方法、装置、电子设备及存储介质
EST III. NECESSARY TECHNOLOGY BACKGROUND
CN113783847B (zh) 消息交互方法、装置、计算机设备和存储介质
US11968302B1 (en) Method and system for pre-shared key (PSK) based secure communications with domain name system (DNS) authenticator
US11805110B2 (en) Method for transmitting data packets
CN116346769A (zh) 一种业务交互方法、装置、业务系统、电子设备及介质
CN117560168A (zh) 基于零信任的SRv6报文生成和传输方法

Legal Events

Date Code Title Description
A201 Request for examination