WO2021020918A1 - Method for providing logical internal network, and mobile terminal and application for implementing same - Google Patents

Method for providing logical internal network, and mobile terminal and application for implementing same Download PDF

Info

Publication number
WO2021020918A1
WO2021020918A1 PCT/KR2020/010090 KR2020010090W WO2021020918A1 WO 2021020918 A1 WO2021020918 A1 WO 2021020918A1 KR 2020010090 W KR2020010090 W KR 2020010090W WO 2021020918 A1 WO2021020918 A1 WO 2021020918A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
access
network
information
application
Prior art date
Application number
PCT/KR2020/010090
Other languages
French (fr)
Korean (ko)
Inventor
김찬우
최성준
Original Assignee
스콥정보통신 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 스콥정보통신 주식회사 filed Critical 스콥정보통신 주식회사
Publication of WO2021020918A1 publication Critical patent/WO2021020918A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/60Subscription-based services using application servers or record carriers, e.g. SIM application toolkits

Definitions

  • It relates to a technology for implementing a logical internal network with an application installed in a mobile terminal.
  • Intranet In particular, due to the need for stable network speed and security, organizations and companies have built and utilized internal networks.
  • the internal network (intranet) requires a lot of cost and time to be built with complex configurations such as firewall-only devices, routers, wireless LAN controllers, and redundancy of switches, and a lot of manpower costs to operate them.
  • network-managed devices such as desktops, laptops, tablets, PCs, NAS, Internet phones, printers, etc. are gradually increasing inside the enterprise
  • management in terms of efficiency and stability increases as the number of devices using the internal network increases. Is having difficulty.
  • An object to be solved by the present invention is to provide a technology for implementing an internal network through an application installed in a mobile terminal and allowing access to the internal network to a terminal that has performed authorization authentication.
  • the problem to be solved by the present invention is to provide a technology for setting a policy level differently for each mobile terminal on which an application is installed, and allowing or blocking network access between mobile terminals based on the policy level.
  • the application performs the authentication of the inputted user, and the authentication of the user from the linked policy server Requesting network access authority information according to the user's network authority information and receiving the user's network authority information, receiving a connection request from one or more terminals corresponding to the user's authentication when the user's access authority is approved, and requesting an integrity check result to the terminal
  • the integrity of the terminal is verified, issuing an IP to the terminal, collecting connection request information or access information for the terminal connected to the issued IP and sharing it with the policy server, and encrypting and transmitting packets generated by the terminal. And decrypting the received encrypted packet and forwarding it to the terminal.
  • the policy server may manage authentication information for applications of a plurality of mobile terminals, set access rights, and established network policies, and record access authority request information and terminal information received from each mobile terminal in a database.
  • the policy server upon receiving a request for permission to access a network according to user authentication, may provide accessable terminal information including information on a different mobile terminal that can be connected or a terminal that has connected to the mobile terminal, along with whether to allow network access.
  • the method may further include forwarding a corresponding transport packet to an application of the terminal and transmitting a response packet received in response to the transport packet to the terminal.
  • step of checking whether the information of the accessible terminal is included in the information of the accessible terminal if the destination terminal is not included in the accessible terminal information received from the policy server, it is possible to check whether access is permitted by requesting the access right of the destination terminal to the policy server.
  • a packet may be dropped and a drop message may be transmitted to the terminal.
  • the terminal includes a network access control client that performs integrity access and monitoring, and the step of issuing an IP to the terminal is to transmit the network policy shared from the existing policy server to the terminal, and the integrity based on the network policy. You can request to perform one or more of the scans for access, essential software installation, and malicious software installation.
  • step of issuing an IP to the terminal when the integrity of the terminal is confirmed, tethering is performed for access to the terminal, and an IP address that is not duplicated may be issued for each terminal.
  • the step of synchronizing driving rights and user information of the application by interlocking with a policy server and a network, and providing an interface.
  • Upon receiving user authentication information through the user authentication information requesting network access authority information according to the user authentication information to the policy server, receiving network access authority information, and providing tethering to detect one or more terminals requesting connection, the corresponding terminal Checking the integrity of the network, issuing a non-overlapping IP to the corresponding terminal in response to the checked integrity, and receiving packets generated from the terminal connected to the IP, and the packets based on the network access authority information. It contains instructions that execute the step of determining whether to forward.
  • Receiving the network access right information from the policy server that manages the authentication information for the application, the set access right, and the established network policy, whether or not to allow network access, different accessible mobile terminals or terminals connected to the mobile terminal.
  • Accessible terminal information including information may be received.
  • integrity can be checked by receiving an integrity connection and monitoring result through a network access control client included in the terminal.
  • Determining whether to forward packets is the step of checking whether the destination terminal is included in the accessible terminal information when a packet to be transmitted from the terminal to the destination terminal is received. If the destination terminal can be accessed but is connected to a different mobile terminal, a different It may include instructions for performing the step of forwarding a corresponding transport packet to an application of the mobile terminal, and transmitting a response packet corresponding to the transport packet from an application of a different mobile terminal to the terminal.
  • Determining whether to forward packets may include encapsulating and forwarding a transport packet, and receiving an encapsulated response packet from an application of a different mobile terminal.
  • a point-to-point connection control method in an existing network, a router for transmitting packets to a destination, a switch for a hub function that connects a MAC bridge and a network unit, etc.
  • VPN point-to-point connection control method
  • connection through high transmission speed and ultra-delay technology is implemented by implementing an internal network by utilizing the maximum advantages of 5G, which are data transmission speed, delay time, and terminal capacity, without additional network equipment. Loss of connection due to delay can be prevented.
  • the utilization of the internal network is improved, and an independent internal network for each mobile terminal is established based on a set policy level.
  • complex network policies can be implemented more conveniently and conveniently.
  • FIG. 1 schematically illustrates a system implementing a logical internal network according to an embodiment of the present invention.
  • FIG. 2 is a block diagram showing a mobile terminal, a policy server, and a terminal implementing an internal network according to an embodiment of the present invention.
  • FIG. 3 is an exemplary diagram for explaining a network connection according to a policy between groups of mobile terminals according to an embodiment of the present invention.
  • FIG. 4 is a flowchart illustrating communication of a terminal through mobile terminals implementing an internal network according to an embodiment of the present invention.
  • FIG. 5 is a flowchart illustrating a process of controlling a network between terminals by implementing an internal network by a mobile terminal according to an embodiment of the present invention.
  • FIG. 6 is an exemplary diagram showing a database of a policy server according to an embodiment of the present invention.
  • the mobile terminal and the terminal are computing devices including hardware such as a processor, memory, display, and communication module.
  • the processor runs the application in cooperation with the hardware.
  • the display may display a user interface screen provided by an application and receive a user input (eg, a touch input).
  • a user input eg, a touch input
  • the terminal may receive a user input through a keyboard.
  • the communication module is connected to the communication network. Through the communication network, the application and the server transmit and receive data.
  • a mobile terminal is a terminal in which an application implementing an internal network is installed, and the terminal refers to a device that accesses and communicates with an internal network using an application of the mobile terminal.
  • the mobile terminal and the terminal are classified according to whether or not an application is installed, but the implemented form may be the same.
  • a terminal can be implemented in various forms, and generally described by taking a mobile terminal as an example, but it will be implemented in the form of various types of computers such as a pad-type terminal such as a smart pad, a laptop computer, a wearable device, and a TV terminal. I can.
  • the application is software stored in a computer-readable storage medium, and includes instructions and data for executing the operation of the present invention.
  • the application is installed on the terminal, executed on the terminal, communicates with a designated policy server through a communication network, and can implement a logical internal network.
  • FIG. 1 schematically illustrates a system implementing a logical internal network according to an embodiment of the present invention.
  • the policy server 100 for managing a network policy and the mobile terminals 200 installed with the internal network implementation application are connected through a communication network, and each mobile terminal 200 has a separate terminal 300 ) Are connected, and data communication between the corresponding terminals 300 is performed.
  • the communication network connected between the policy server 100 and the mobile terminals 200 may include all types of communication networks that transmit data, such as a wired communication network, a short-range or long-distance wireless communication network, and a mixed network thereof. It can be implemented in the form of a private network built using.
  • the policy server 100 sets and manages a policy for managing a network environment, and collects and manages information of the mobile terminals 200 connected to the network.
  • the policy server 100 may store and manage the access management policy in the network system as a database.
  • the access management policy relates to whether or not to access a network, and may include information on an access authority level as well as whether to access an internal network.
  • the policy server 100 can access a destination terminal that is below the access authority level of the target terminal, but has the access authority level or higher of the target terminal.
  • the access authority level can be managed so that access to the destination terminal is impossible. (N is a natural number)
  • the policy server 100 may manage individual access rights for the terminals 300 connected to the mobile terminal 200 in addition to access rights assigned to the mobile terminals 200.
  • This policy can be reset by the network administrator in one embodiment, and can be changed and set according to the network environment later.
  • the mobile terminal 200 executes an application that implements an internal network and communicates with the policy server 100 through a communication network.
  • the mobile terminal 200 accesses the policy server 100 using a 5G network and receives access to the input ID, but it is also possible through a 3G/LTE (Long Term Evolution) network. I can.
  • the mobile terminal 200 may be a mobility terminal of various types and uses, such as a portable terminal, a notebook computer, an IoT terminal, a vehicle terminal, and a display terminal.
  • the application installed in the mobile terminal 200 provides a kind of user interface screen, and a user ID and a password according to the user ID may be input through the corresponding user interface screen.
  • the application installed in the mobile terminal 200 checks the user authority according to the network policy based on the input user ID, connects one or more terminals according to the identified user ID, and each terminal Performs the function of transmitting the packet generated in.
  • Such an application may be installed in the mobile terminal 200 designated in advance in a separate user authentication process or a security program.
  • the network-implemented application may be described as a subject of the operation, or the mobile terminal 200 running the installed network-implemented application may be described as the subject of the operation.
  • the terminal 300 is a device that transmits and receives packets by accessing a network implemented by an application installed in the mobile terminal 200, and may be implemented in the same or various forms as the mobile terminal 200, for example, a smart pad. It may be implemented in the form of various types of computers, such as pad type terminals, laptop computers, wearable devices, and TV terminals.
  • the terminal 300 communicates with each other through an internal network provided by an application of the mobile terminal 200 and may also communicate with different terminals connected to other mobile terminals.
  • the terminal 300 includes a network access control client that performs integrity access and audit.
  • the network access control client may perform integrity and audit based on a network policy received from an application, and may perform role-based access control (RBAC), a security policy compliance check, and media control such as USB.
  • RBAC role-based access control
  • security policy compliance check a security policy compliance check
  • USB media control
  • the terminal transmitting the packet is referred to as the target terminal 300-1, and the receiving terminal of the packet is referred to as the destination terminal 300-2.
  • the target terminal 300-1 connects to the mobile terminal A 200-A and uses an internal network through a network implementation application installed in the mobile terminal A 200-A. At this time, when the target terminal 300-1 wants to access the destination terminal 300-2, the mobile terminal A 200-A to which the target terminal 300-1 is connected and the destination terminal 300-2 Communication between the connected mobile terminals N (200-N) is performed.
  • the target terminal 300-1 and the destination terminal 300-2 are connected only when access between mobile terminal A (200-A) and mobile terminal N (200-N) is allowed to each other, and on the same internal network. Unlimited network use is possible.
  • FIG. 2 is a block diagram showing a mobile terminal, a policy server, and a terminal implementing an internal network according to an embodiment of the present invention.
  • the application 210 of the mobile terminal 200 checks whether the access right to the internal network, and establishes a connection with the terminal 300. To transmit and receive packets.
  • the policy server 100 checks the authority requested from the mobile terminal 200 and returns a policy management unit 110 to the mobile terminal 200 and a database 120 that stores information on the network policy or the mobile terminal 200. ).
  • the policy management unit 110 searches for a preset database 120 based on a corresponding user ID through communication with the mobile terminal 200 and checks the matched ID for the database 120.
  • the policy management unit 110 When the policy management unit 110 has the requested authority for the matched ID information, it transmits the feedback on the authorization approval to the mobile terminal 200, and if it does not have the requested authority, the feedback on the authorization disapproval is sent to the mobile device. It can be transmitted to the terminal 200.
  • the policy management unit 110 collects data such as login information (ID/Password), issued IP address and MAC address, and access authority level from the connected mobile terminal 200 in real time, and stores the data in the database 120 in the form of a table. Can be stored and managed.
  • the policy management unit 110 includes basic information, unique numbers, IP addresses, MAC addresses, S/N [signal-noise ratio], traffic information, and usage history information of terminals 300 connected to a plurality of connected mobile terminals 200. Etc. can be collected and stored.
  • the policy management unit 110 may perform real-time communication with the mobile terminals 200 to receive various pieces of information collected by the mobile terminals 200, and record and manage them in the database 120.
  • the policy management unit 110 may individually recognize the terminals and apply an individual policy set for each terminal. For example, some different access rights from the connected mobile terminal 200 may be applied to the terminal 300.
  • the policy management unit 110 provides a user ID for access rights to an internal network implemented through an application of the mobile terminal 200 or access rights to a terminal 300 connected to a different mobile terminal 200.
  • the authority can be checked based on the authority and a response corresponding thereto can be provided.
  • a network policy database in which network access rights, access rights to other mobile terminals, etc. are set based on a user ID, and a database storing information of a mobile terminal connected in real time may be separately constructed.
  • the policy server 100 and the mobile terminal 200 are closely connected through a network to synchronize the driving rights and user information of the application installed in each mobile terminal 200.
  • the application 210 of the mobile terminal 200 includes a policy management unit 211, a packet reception unit 212, a terminal management unit 213, and a packet forwarding unit 214 for managing network access rights.
  • the policy management unit 211 connects to the policy server 100 in real time based on the user ID and password input by executing the application to check the access authority of the user.
  • the policy management unit 210 receives an access permission response through the policy server 100 and an access permission query in order to authenticate the permission to access the internal network in a mobile network environment.
  • the policy management unit 211 pre-registers IDs for users who can use the mobile terminal, separately manages a user authentication database to check whether the user ID input from the application matches the password, and then uses only the user ID.
  • the policy server 100 can check whether access is authorized.
  • the method used for user authentication is described with a user ID and password, but is not limited thereto, and authentication may be performed using a user's human body authentication method (iris, fingerprint, etc.) or pattern recognition.
  • the policy management unit 211 searches for a user having a feature point extracted through the authentication method in the user authentication database to determine whether it is matched, and when the user authentication is confirmed in the user authentication database, the policy management unit 211 responds to each user.
  • the authentication code that is used may be transmitted to the policy server 100 to receive access authorization.
  • the packet receiving unit 212 receives all packets generated from a terminal to access a network implemented by an application.
  • the packet receiving unit 212 receives an access packet, a data transmission/reception packet, a control signal packet, and the like from the terminal 300 located in a certain short distance.
  • the terminal management unit 213 checks the integrity connection of the terminal 300 in response to the Wi-Fi access request from the terminal 300 and then performs Wi-Fi tethering.
  • the terminal management unit 213 may request an integrity check result from the terminal 300 that has transmitted the connection request, and check the integrity check result transmitted through the packet receiving unit 212.
  • the terminal management unit 213 may manage a list of available IPs to issue an available IP to the terminal 300 requesting a Wi-Fi connection.
  • Wi-Fi tethering will be described, but the present invention is not limited thereto, and USB tethering, Bluetooth tethering, and the like may be performed according to an applied situation.
  • the terminal management unit 213 may create a list in which an IP issued to connect and manage one or more terminals 300 and a unique number for each terminal 300 are associated. Accordingly, the terminal management unit 213 may collect the connection request information of the terminal 300 and record it in the database in association with the connection request information of the terminal 300 and the issued IP address, which is then transferred to the policy server 100. Can be transmitted.
  • the terminal management unit 213 may collect tracking data on traffic and usage history based on the IPs of the terminals.
  • the packet forwarding unit 214 transmits the packet to the specific terminal or transmits the packet received from the connected terminal 300 to the terminal 300.
  • the packet receiving unit 212 and the packet forwarding unit 214 may perform encryption/decryption of a packet.
  • the packet receiving unit 212 decodes the packet to check the destination of the packet, and if the destination is the terminal 300 to which the destination is connected, the packet forwarding unit 214 decrypts the packet.
  • One packet may be transmitted to the terminal 300.
  • the packet forwarding unit 214 may encrypt the packet received and transmit it to the destination.
  • the packet receiving unit and the packet forwarding unit may respectively perform encryption and decryption on the packet.
  • encryption and decryption steps are performed in transmitting/receiving packets even if the process of encryption and decryption is not separately described.
  • the terminal 300 wirelessly accesses an IP issued through an internal wireless Internet module (Wi-Fi) and performs communication through an internal network implemented in the mobile terminal 200.
  • Wi-Fi wireless Internet module
  • the terminal 300 may include a network access control client, and check and monitor integrity access through the network access control client.
  • one or more of a variety of tests for checking the integrity of a terminal may be tested.
  • FIG. 3 is an exemplary diagram for explaining a network connection according to a policy between groups of mobile terminals according to an embodiment of the present invention.
  • the mobile terminals 200 are provided with an internal rule including a level of access authority assigned to an authenticated user ID, a department corresponding to the user ID, a title, a title, etc. It can be grouped as G10, G20, and G30 based on policies, etc.
  • an unlimited network can be used without a separate connection availability confirmation procedure between mobile terminals in the same group, but a procedure for access authority must be performed between mobile terminals in different groups.
  • the mobile terminal A accesses the policy server 100 to access the terminal to communicate with. After checking, you can transmit and forward the packet.
  • a terminal belonging to the G20 group can freely communicate with a terminal belonging to the G10 group, but network use is limited with a terminal belonging to the G30 group.
  • a terminal belonging to the G30 group may receive a packet from the G10 group, but may be configured to limit data transmission to the outside.
  • the terminal belonging to the G10 group can transmit the packet to the terminal belonging to the G30 group and check only the response packet that has been transmitted.
  • the group policy can be easily changed and set by an administrator later, and communication between various terminals connected to a specific mobile terminal can be managed differently according to the policy.
  • individual access rights can be set based on unique values (IP, S/N, MAC, etc.) of the terminal connected to the mobile terminal.
  • terminal 1 and 2 connected to the mobile terminal terminal 1 may be set to have access rights according to the access rights of the mobile terminal, and terminal 2 may be set to have access rights different from the access rights of the mobile terminal.
  • the terminal 2 can be set so that the mobile terminal cannot connect to the accessible terminals, and conversely, the mobile terminal can be set to allow access to some specific terminals among the terminals to which the mobile terminal is not accessible.
  • a policy can be applied to terminals that access the mobile terminal as a standard, or access can be controlled through policies individually set for the terminals.
  • a code for performing an individual policy may be additionally described or a policy level may be set differently and managed by the mobile terminal 200 and the policy server 100.
  • FIG. 4 is a flowchart illustrating communication of a terminal through mobile terminals implementing an internal network according to an embodiment of the present invention.
  • the terminal 300-1 is connected to the mobile terminal A 200-A with an IP issued through ID authentication, and the terminal 300-2 has an ID on the mobile terminal B 200-B. Communication is being performed through each internal network while connected to the IP issued through authentication.
  • the terminal 300-1 transmits a destination access packet destined for the terminal 300-2 to the mobile terminal 200-A.
  • the mobile terminal 200-A checks whether the destination terminal 300-2 for the destination access packet is a terminal connected to the same group.
  • the mobile terminal 200-A may check whether it is a different terminal connected to the mobile terminal 200-A or a terminal connected within a group including the mobile terminal 200-A. This is because the mobile terminal 200-A manages information on the connected terminal, it is possible to check whether there is matching information between the information of the terminal connected in the same group and the destination terminal 300-2.
  • the mobile terminal 200 -A may access the policy server 100 to check access information of the destination terminal 300-2 and request access permission.
  • a destination access packet is transmitted from the packet forwarding unit 214 of the mobile terminal A 200-A to the mobile terminal B 200-B corresponding to the access information of the destination terminal 300-2. Can be transmitted.
  • the mobile terminal A (200-A) may transmit a destination access packet by adding a security code indicating a packet for which access is permitted.
  • the destination access packet may be encapsulated and transmitted to the mobile terminal B 200-B.
  • Encapsulation refers to a technique that hides information within an object and provides external access that allows other objects to interact with that information, but does not allow direct access to it.
  • the encapsulated destination access packet is checked (Encapsulation), and the terminal management unit 133 recognizes that the destination terminal is one of the connected terminals. Confirm. Then, after checking whether the packet is a packet received from the terminal 300-1 to which access is permitted, the corresponding destination access packet is transmitted to the destination terminal 300-2.
  • the mobile terminal B may access the policy server 100 to check whether the connection of the terminal 300-1 is allowed, or check the security code added to the packet itself.
  • the destination terminal 300-2 transmits a destination response packet according to the received destination access packet, which is transmitted from the mobile terminal B 200-B to the mobile terminal A 200-A in the same manner as described above, This is transmitted to the terminal 300-1 again.
  • a packet transmitted/received between terminals 300 connected to the mobile terminal 200 and a packet transmitted/received between different mobile terminals may be encrypted and decrypted through different methods.
  • FIG. 5 is a flowchart illustrating a process of controlling a network between terminals by implementing an internal network by a mobile terminal according to an embodiment of the present invention
  • FIG. 6 is an exemplary diagram showing a database of a policy server according to an embodiment of the present invention.
  • the mobile terminal 200 performs user authentication by driving an application (S110).
  • the mobile terminal 200 may perform login by checking an ID and password input from a user through an interface screen provided by the application 210.
  • the mobile terminal 200 checks the access authority for the user authentication information (S120).
  • the mobile terminal 200 requests the policy server 100 for permission to access the ID. Accordingly, the policy server 100 stores the access permission request information received from the mobile terminal 200 in a database, and searches for information matching the access permission request information with previously established policy information. Through this, the policy server 100 may transmit permission information or approval for a corresponding access permission request.
  • the authority information further includes reference information for grouping, policy information between groups, accessible terminal information or access authority level including information of different mobile terminals that can be accessed or terminals that have accessed the mobile terminal. Can include.
  • the mobile terminal 200 activates the hotspot (S130).
  • the mobile terminal 200 activates a hotspot at the same time as accessing the application of the terminal, and through this, the terminal requests permission to access Wi-Fi.
  • the mobile terminal 200 performs connection approval for the connection request of the terminal corresponding to the corresponding ID and issues an IP to the terminal (S140).
  • the application running on the mobile terminal 200 collects and records Wi-Fi connection request information of the terminal 300, and requests an integrity connection check and monitoring result to the terminal 300. Accordingly, if integrity is verified from the terminal 300, an available IP is issued to establish a Wi-Fi connection to allow the terminal 300 to use the network.
  • the mobile terminal 200 may share the collected information of the terminal 300, access request information, integrity check information, issued IP, and the like with the policy server 100.
  • the terminal 300 can access the network through the connected Wi-Fi and use the Internet.
  • the mobile terminal 200 receives an access packet to be transmitted to the destination terminal from the terminal connected with the issued IP (S150).
  • the mobile terminal 200 receives all packets generated by the terminal 300 and checks whether forwarding is performed.
  • the mobile terminal 200 checks whether connection with the destination terminal is possible (S160).
  • the mobile terminal 200 may check whether a destination terminal is connected within the same group in order to check a group to which the destination terminal belongs, and may request permission from the policy server 100 to the destination terminal.
  • the policy server 100 may compare terminal information shared from the mobile terminals 200 to check a group to which the destination terminal belongs, and check a policy between the corresponding terminal 300 and the destination terminal 300-1.
  • the policy server 100 may check detailed policies indicating individual access rights of terminals 300 connected to each mobile terminal in addition to policies between mobile terminals.
  • the mobile terminal 200 drops an access packet and transmits a drop message to the terminal (S170).
  • the access information indicating the mobile terminal to which the destination terminal 300-1 is accessed is displayed together with the access permission approval. Receive.
  • the mobile terminal 200 when the mobile terminal 200 receives an access packet including the IP of the destination terminal 300-1 from the terminal 300, the mobile terminal 200 checks whether access to the destination terminal 300-1 is possible using the IP. Alternatively, the policy server 100 may request access authority confirmation. Accordingly, when the access authority is granted, the mobile terminal 200 forwards the access packet to the corresponding IP, so that different mobile terminals managing the IP may receive the access packet.
  • the mobile terminal 200 can access the destination terminal, it transmits a packet to another mobile terminal connected to the destination terminal, receives a response packet, and delivers it to the terminal (S180).
  • Step S180 of transmitting and receiving packets between the terminal 300 and the destination terminal 300-2 through packet communication between the mobile terminals 200 has been previously described in FIG. 4, and thus a redundant description will be omitted.
  • the policy server 100 stores and manages access information between the mobile terminal 200 and the terminal 300 in the database 120.
  • connected terminal information Based on user ID and password (PWD), connected terminal information, IP address, MAC address, and each set network policy are stored and managed in a table.
  • tracking data on the traffic and usage history of each terminal, and a control plan for the application accordingly, can be stored and managed in connection with each application.
  • the policy server 100 searches for access information of the destination terminal and access rights of the terminals, and transmits permission approval feedback only to the matched terminals, thereby controlling access of unauthorized terminals and implementing an independent intranet in the network. .
  • a system implementing a logical internal network constructs an internal network by replacing the complex configuration of essential items (firewall (VPN) router, core switch, distribution switch) constituting the existing internal network through a mobile application. You can minimize the cost of doing it.
  • Firewall VPN
  • access control for the source IP/MAC address and destination IP included in the packet generated by a terminal such as a PC connected to the mobile terminal is performed, and communication between groups of the internal network is performed by grouping mobile terminals implementing the network through an application.
  • a network can be constructed using the maximum advantages of 5G, such as data transmission speed, delay time, and terminal capacity. For example, a network with a maximum transmission speed of 20 Gbps can be established. While in use, it is possible to prevent loss of connection due to connection delay between mobile and terminal through ultra-low delay technology.
  • the computer-readable medium may include program instructions, data files, data structures, and the like alone or in combination.
  • the medium may be specially designed and configured, or may be known and usable to those skilled in computer software.
  • Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical recording media such as CD-ROMs and DVDs, magnetic-optical media such as floppy disks, and ROM, RAM, flash memory, and the like.
  • Hardware devices specially configured to store and execute the same program instructions are included.
  • the medium may be a transmission medium such as an optical or metal wire or a waveguide that transmits a signal specifying a program command or a data structure.
  • Examples of the program instructions include not only machine language codes such as those produced by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like.

Abstract

The present invention relates to a method for providing a logical internal network by an application installed on a mobile terminal, the method comprising the steps in which the application: carries out the authentication of a user received thereby; requests, to a connected policy server, network access right information in accordance with the authentication of the user, and receives the network right information of the user; when the access right of the user is approved, receives a connection request from at least one terminal corresponding to the authentication of the user; requests the result of an integrity check to the terminal, and when the integrity of the terminal is confirmed, issues an IP to the terminal; collects connection request information or access information of the terminal which is accessing via the issued IP, and shares same with the policy server; and encrypts and transmits packets generated from the terminal, and decrypts received encrypted packets and forwards same to the terminal.

Description

논리적 내부 네트워크를 제공하는 방법, 이를 구현하는 모바일 단말 및 어플리케이션Method of providing logical internal network, mobile terminal and application implementing the same
모바일 단말에 설치된 어플리케이션으로 논리적 내부 네트워크를 구현하는 기술에 관한 것이다. It relates to a technology for implementing a logical internal network with an application installed in a mobile terminal.
최근에 멀티미디어 콘텐츠의 성장, 사물 인터넷(IoT)의 확장, 클라우드 컴퓨팅의 급증, 증가하는 모바일 사용량의 영향 등과 같이, 사용되는 데이터들의 증가로 네트워크의 수요가 기하급수적으로 늘어나고 있다. Recently, the demand for networks is increasing exponentially due to the increase in used data, such as the growth of multimedia contents, the expansion of the Internet of Things (IoT), the rapid increase in cloud computing, and the influence of the increasing mobile usage.
이러한 증가하는 네트워크의 수요와 함께 변해가는 다양한 비즈니스 모델에 대응하기 위해 네트워크 구조의 변화에 대한 필요성이 증대되고 있다.The necessity for a change in network structure is increasing in order to cope with various business models that change with the increasing demand of the network.
특히, 안정적인 네트워크 속도와 보안의 필요성에 의해 기관이나 기업에서는 내부 네트워크를 구축하여 활용하고 있다. 하지만 내부 네트워크(인트라넷)은 방화벽 전용 기기, 라우터, 무선 LAN 컨트롤러 도입 그리고 스위치의 이중화 등의 복잡한 구성으로 구축됨에 있어 많은 비용과 시간이 필요하며, 이를 운용하기 위한 많은 인력 비용 등이 요구된다. 또한, 데스크톱,노트북,태블릿,PC,NAS,인터넷 전화,프린터기 등 네트워크로 관리되는 장비들이 기업 내부에 점차 많아지는 IoT 환경에서 내부 네트워크를 사용하는 장비가 많아질수록 효율성과 안정성의 측면에서의 관리에 어려움이 있다. In particular, due to the need for stable network speed and security, organizations and companies have built and utilized internal networks. However, the internal network (intranet) requires a lot of cost and time to be built with complex configurations such as firewall-only devices, routers, wireless LAN controllers, and redundancy of switches, and a lot of manpower costs to operate them. In addition, in an IoT environment where network-managed devices such as desktops, laptops, tablets, PCs, NAS, Internet phones, printers, etc. are gradually increasing inside the enterprise, management in terms of efficiency and stability increases as the number of devices using the internal network increases. Is having difficulty.
이에 따라 변화하는 네트워크 구조나 네트워크 정책 등의 복잡성에 상관없이 일관성있게 관리할 수 있으며, 안정적인 속도와 보안적인 측면을 제공하면서 내부 네트워크의 구축 및 운영에 필요한 인력 비용을 최소화하는 기술 개발이 진행되고 있다. Accordingly, it is possible to consistently manage regardless of the complexity of the changing network structure or network policy, and technology development is underway to minimize manpower costs required for the construction and operation of the internal network while providing stable speed and security aspects. .
더욱이 최근에는 5G 모바일 네트워크를 제공함에 따라 높은 대역폭을 통해 다수의 모바일 단말에서 빠르고 고품질의 통신 서비스를 이용할 수 있게 되었다.Moreover, in recent years, as 5G mobile networks are provided, fast and high-quality communication services can be used by multiple mobile terminals through high bandwidth.
이에, 5G 네트워크에 기초하여 특정 장소에 고정될 필요가 없는 모바일 단말을 통해 내부 네트워크를 구현함으로써, 기존 내부 네트워크를 대체하면서, 내부 보안을 위한 사용자의 인증을 수행하여 제어하는 내부 인트라넷 구축 기술이 요구된다.Therefore, by implementing an internal network through a mobile terminal that does not need to be fixed in a specific place based on a 5G network, there is a need for an internal intranet construction technology that performs and controls the user's authentication for internal security while replacing the existing internal network. do.
본 발명이 해결하고자 하는 과제는 모바일 단말에 설치된 어플리케이션을 통해 내부 네트워크를 구현하고, 권한 인증을 수행한 단말에 대해서 내부 네트워크의 접속을 허용하는 기술을 제공하기 위한 것이다. An object to be solved by the present invention is to provide a technology for implementing an internal network through an application installed in a mobile terminal and allowing access to the internal network to a terminal that has performed authorization authentication.
본 발명이 해결하고자 하는 과제는 어플리케이션을 설치한 모바일 단말마다 정책 레벨을 상이하게 설정하고, 정책 레벨에 기초하여 모바일 단말간의 네트워크 접속을 허용하거나 차단하는 기술을 제공하기 위한 것이다. The problem to be solved by the present invention is to provide a technology for setting a policy level differently for each mobile terminal on which an application is installed, and allowing or blocking network access between mobile terminals based on the policy level.
상기 과제 이외에도 구체적으로 언급되지 않은 다른 과제를 달성하는 데 사용될 수 있다.In addition to the above tasks, it can be used to achieve other tasks not specifically mentioned.
본 발명의 하나의 실시예에 따르면, 모바일 단말에 설치된 어플리케이션이 연결된 단말들에 논리적 내부 네트워크를 제공하는 방법에서, 어플리케이션은 입력받은 사용자의 인증을 수행하는 단계, 연동된 정책 서버로부터 사용자의 인증에 따른 네트워크 접속 권한 정보를 요청하고, 사용자의 네트워크 권한 정보를 수신하는 단계, 사용자의 접속 권한이 승인되면, 사용자의 인증에 대응되는 하나 이상의 단말로부터 연결 요청을 받는 단계, 단말로 무결성 검사 결과를 요청하고 단말의 무결성이 확인되면, 단말로 IP를 발급하는 단계, 발급된 IP로 접속한 단말에 대한 연결 요청 정보 또는 접속 정보를 수집하여 정책 서버와 공유하는 단계 그리고 단말에서 발생하는 패킷들을 암호화하여 송신하고 수신한 암호화된 패킷을 복호화하여 단말로 포워딩하는 단계를 포함한다. According to an embodiment of the present invention, in a method of providing a logical internal network to terminals connected to an application installed in a mobile terminal, the application performs the authentication of the inputted user, and the authentication of the user from the linked policy server Requesting network access authority information according to the user's network authority information and receiving the user's network authority information, receiving a connection request from one or more terminals corresponding to the user's authentication when the user's access authority is approved, and requesting an integrity check result to the terminal When the integrity of the terminal is verified, issuing an IP to the terminal, collecting connection request information or access information for the terminal connected to the issued IP and sharing it with the policy server, and encrypting and transmitting packets generated by the terminal. And decrypting the received encrypted packet and forwarding it to the terminal.
정책 서버는, 복수 개의 모바일 단말의 어플리케이션에 대한 인증 정보와 설정된 접속 권한 그리고 구축된 네트워크 정책을 관리하고, 각 모바일 단말로부터 수신한 접속 권한 요청 정보와 단말의 정보들을 데이터베이스에 기록할 수 있다. The policy server may manage authentication information for applications of a plurality of mobile terminals, set access rights, and established network policies, and record access authority request information and terminal information received from each mobile terminal in a database.
정책 서버는, 사용자 인증에 따른 네트워크 접속 권한을 요청받으면, 네트워크 접속 허용 여부와 함께, 접속 가능한 상이한 모바일 단말 또는 해당 모바일 단말에 접속한 단말의 정보들을 포함하는 접속 가능한 단말 정보를 제공할 수 있다. The policy server, upon receiving a request for permission to access a network according to user authentication, may provide accessable terminal information including information on a different mobile terminal that can be connected or a terminal that has connected to the mobile terminal, along with whether to allow network access.
발급된 상기 IP로 접속한 단말로부터 목적지 단말로 전송할 패킷을 수신하는 단계, 목적지 단말이 접속 가능한 단말 정보에 포함되는지 확인하는 단계, 그리고 목적지 단말로의 접속 권한이 확인하면, 목적지 단말이 접속한 모바일 단말의 어플리케이션으로 해당 전송 패킷을 포워딩하고 전송 패킷에 대응하여 수신하는 응답 패킷을 상기 단말로 전달하는 단계를 더 포함할 수 있다. Receiving a packet to be transmitted to the destination terminal from the terminal connected with the issued IP, checking whether the destination terminal is included in the accessible terminal information, and if the access right to the destination terminal is confirmed, the mobile to which the destination terminal is connected The method may further include forwarding a corresponding transport packet to an application of the terminal and transmitting a response packet received in response to the transport packet to the terminal.
접속 가능한 단말의 정보에 포함되는지 확인하는 단계는, 정책 서버로부터 수신한 접속 가능한 단말 정보에 목적지 단말이 포함되지 않으면, 정책 서버로 목적지 단말의 접속 권한을 요청하여 접속 허용 여부를 확인할 수 있다. In the step of checking whether the information of the accessible terminal is included in the information of the accessible terminal, if the destination terminal is not included in the accessible terminal information received from the policy server, it is possible to check whether access is permitted by requesting the access right of the destination terminal to the policy server.
단말로 전달하는 단계는, 목적지 단말로의 접속 권한이 승인되지 않으면 패킷을 드랍시키고 드랍 메시지를 단말에 전달할 수 있다.In the step of transferring to the terminal, if the access right to the destination terminal is not approved, a packet may be dropped and a drop message may be transmitted to the terminal.
단말은 무결성 접속과 감시를 수행하는 네트워크 엑세스 제어(Network Access Control) 클라이언트를 포함하고, 단말로 IP를 발급하는 단계는, 기 정책 서버로부터 공유된 네트워크 정책을 단말로 전송하면서 네트워크 정책을 기반으로 무결성 접속 여부, 필수 소프트웨어 설치 검사, 악성 소프트웨어 설치 검사 중에 하나 이상의 검사를 수행하도록 요청할 수 있다. The terminal includes a network access control client that performs integrity access and monitoring, and the step of issuing an IP to the terminal is to transmit the network policy shared from the existing policy server to the terminal, and the integrity based on the network policy. You can request to perform one or more of the scans for access, essential software installation, and malicious software installation.
단말로 IP를 발급하는 단계는, 단말의 무결성이 확인되면 단말의 접속을 위해 테더링을 수행하고, 단말마다 중복되지 않은 IP 주소를 발급할 수 있다. In the step of issuing an IP to the terminal, when the integrity of the terminal is confirmed, tethering is performed for access to the terminal, and an IP address that is not duplicated may be issued for each terminal.
단말마다 발급된 IP에 기초하여 각 단말의 트래픽과 사용 이력에 대한 추적 데이터들을 수집하고, 수집된 추적 데이터들을 정책 서버와 공유하는 단계, 그리고 단말의 트랙픽의 사용량을 제어하거나 특정 사이트 또는 상이한 단말간의 접속을 제어하는 단계를 더 포함할 수 있다. Collecting tracking data on the traffic and usage history of each terminal based on the IP issued for each terminal, sharing the collected tracking data with the policy server, and controlling the traffic usage of the terminal or between specific sites or different terminals. It may further include controlling the access.
본 발명의 다른 실시예에 따르면, 컴퓨팅 장치에 의해 실행되고, 컴퓨터 판독 가능한 기록 매체에 저장되는 어플리케이션으로서, 정책 서버와 네트워크로 연동되어 어플리케이션의 구동 권한과 사용자 정보를 동기화하는 단계, 제공되는 인터페이스를 통해 사용자 인증 정보를 입력받으면, 사용자 인증 정보에 따른 네트워크 접속 권한 정보를 정책 서버로 요청하고, 네트워크 접속 권한 정보를 수신하는 단계, 테더링을 제공하여 연결을 요청하는 하나 이상의 단말을 감지하면 해당 단말에 대한 무결성을 확인하고, 확인된 무결성에 대응하여 중복되지 않은 IP를 해당 단말로 발급하는 단계, 그리고 IP로 접속한 단말로부터 발생되는 패킷들을 수신하고, 상기 네트워크 접속 권한 정보에 기초하여 상기 패킷들의 포워딩 여부를 결정하는 단계를 실행하는 명령들을 포함한다. According to another embodiment of the present invention, as an application executed by a computing device and stored in a computer-readable recording medium, the step of synchronizing driving rights and user information of the application by interlocking with a policy server and a network, and providing an interface. Upon receiving user authentication information through the user authentication information, requesting network access authority information according to the user authentication information to the policy server, receiving network access authority information, and providing tethering to detect one or more terminals requesting connection, the corresponding terminal Checking the integrity of the network, issuing a non-overlapping IP to the corresponding terminal in response to the checked integrity, and receiving packets generated from the terminal connected to the IP, and the packets based on the network access authority information. It contains instructions that execute the step of determining whether to forward.
네트워크 접속 권한 정보를 수신하는 단계는, 어플리케이션에 대한 인증 정보와 설정된 접속 권한 그리고 구축된 네트워크 정책을 관리하는 정책 서버로부터, 네트워크 접속 허용 여부, 접속 가능한 상이한 모바일 단말 또는 해당 모바일 단말에 접속한 단말의 정보들을 포함하는 접속 가능한 단말 정보를 수신할 수 있다. Receiving the network access right information, from the policy server that manages the authentication information for the application, the set access right, and the established network policy, whether or not to allow network access, different accessible mobile terminals or terminals connected to the mobile terminal. Accessible terminal information including information may be received.
중복되지 않은 IP를 해당 단말로 발급하는 단계는, 단말에 포함된 네트워크 엑세스 제어(Network Access Control) 클라이언트를 통해 무결성 접속과 감시 결과를 수신하여 무결성을 확인할 수 있다. In the step of issuing a non-overlapping IP to a corresponding terminal, integrity can be checked by receiving an integrity connection and monitoring result through a network access control client included in the terminal.
단말마다 발급된 IP에 기초하여 각 단말의 트래픽과 사용 이력에 대한 추적 데이터들을 수집하고, 단말의 트래픽을 기준치 이하로 사용량을 제어하거나 특정 사이트 또는 상이한 단말간의 접속을 제어하는 단계를 실행하는 명령들을 더 포함할 수 있다. Commands to execute the steps of collecting tracking data on the traffic and usage history of each terminal based on the IP issued for each terminal, controlling the usage of the terminal traffic below the standard value, or controlling access between specific sites or different terminals It may contain more.
패킷들의 포워딩 여부를 결정하는 단계는, 단말로부터 목적지 단말로 전송할 패킷을 수신하면 목적지 단말이 접속 가능한 단말 정보에 포함되는지 확인하는 단계, 목적지 단말로 접속이 가능하지만 상이한 모바일 단말에 연결되어 있으면, 상이한 모바일 단말의 어플리케이션으로 해당 전송 패킷을 포워딩하는 단계, 그리고 상이한 모바일 단말의 어플리케이션으로부터 전송 패킷에 대응하는 응답 패킷을 수신하면 상기 단말로 전달하는 단계를 실행하는 명령들을 포함할 수 있다. Determining whether to forward packets is the step of checking whether the destination terminal is included in the accessible terminal information when a packet to be transmitted from the terminal to the destination terminal is received. If the destination terminal can be accessed but is connected to a different mobile terminal, a different It may include instructions for performing the step of forwarding a corresponding transport packet to an application of the mobile terminal, and transmitting a response packet corresponding to the transport packet from an application of a different mobile terminal to the terminal.
패킷들의 포워딩 여부를 결정하는 단계는, 전송 패킷을 캡슐화(capsulation)하여 포워딩하고, 상이한 모바일 단말의 어플리케이션으로부터 캡슐화된 응답 패킷을 수신할 수 있다. Determining whether to forward packets may include encapsulating and forwarding a transport packet, and receiving an encapsulated response packet from an application of a different mobile terminal.
본 발명의 하나의 실시예에 따르면, 기존의 네트워크에서의 지점간 연결 제어 방법(VPN), 패킷을 목적지까지 전송하기 위한 라우터, MAC 브릿지와 네트워크 단위를 연결해주는 허브 기능의 스위치 등을 어플리케이션을 통해 논리적 네트워크로 대체함으로써, 내부 네트워크의 구축 비용을 최소화할 수 있다. According to one embodiment of the present invention, a point-to-point connection control method (VPN) in an existing network, a router for transmitting packets to a destination, a switch for a hub function that connects a MAC bridge and a network unit, etc. By replacing it with a logical network, it is possible to minimize the construction cost of the internal network.
본 발명의 하나의 실시예에 따르면, 별도의 네트워크 장비 없이 5G의 최대 장점인 데이터 전송 속도, 지연 시간, 네트워크 상의 단말기 수용 능력을 활용하여 내부 네트워크를 구현함으로써 높은 전송속도와 초지연기술을 통한 연결지연으로 인한 연결 유실을 방지할 수 있다. According to one embodiment of the present invention, connection through high transmission speed and ultra-delay technology is implemented by implementing an internal network by utilizing the maximum advantages of 5G, which are data transmission speed, delay time, and terminal capacity, without additional network equipment. Loss of connection due to delay can be prevented.
본 발명의 하나의 실시예에 따르면, 사용가능한 대역폭이 증가함에 따라 취약해 질 수 있는 보안에 있어서, 모든 신호 트래픽의 암호화와 고급 암호화 알고리즘 및 보안키 사용하고 디바이스와 네트워크를 상호간에 확인 해줄 수 있는 안전한 ID 관리 기능을 포함하여 내부 네트워크를 구축함으로써, 보안적인 측면을 강화하여 폭넓게 내부 네트워크를 관리하고 제어할 수 있다. According to one embodiment of the present invention, in security that may become vulnerable as the usable bandwidth increases, encryption of all signal traffic, advanced encryption algorithms, and security keys are used, and devices and networks can be mutually confirmed. By building an internal network including a secure ID management function, it is possible to manage and control a wide range of internal networks by enhancing the security aspect.
본 발명의 하나의 실시예에 따르면, 특정 장소에 고정될 필요 없는 모바일 단말의 어플리케이션을 통해 내부 네트워크를 구축함으로써, 내부 네트워크의 활용도를 향상시키고, 설정된 정책 레벨에 기초하여 모바일 단말별 독립된 내부 네트워크를 구성함으로써, 복잡한 네트워크 정책을 보다 편리하고 간편하게 구현할 수 있다. According to an embodiment of the present invention, by establishing an internal network through an application of a mobile terminal that does not need to be fixed in a specific place, the utilization of the internal network is improved, and an independent internal network for each mobile terminal is established based on a set policy level. By configuring, complex network policies can be implemented more conveniently and conveniently.
도 1은 본 발명의 실시예에 따른 논리적 내부 네트워크를 구현하는 시스템을 개략적으로 도시한 것이다. 1 schematically illustrates a system implementing a logical internal network according to an embodiment of the present invention.
도 2는 본 발명의 실시예에 따른 내부 네트워크를 구현하는 모바일 단말과 정책 서버 그리고 단말을 나타낸 구성도이다. 2 is a block diagram showing a mobile terminal, a policy server, and a terminal implementing an internal network according to an embodiment of the present invention.
도 3은 본 발명의 실시예에 따른 모바일 단말의 그룹간의 정책에 따른 네트워크 연결을 설명하기 위한 예시도이다. 3 is an exemplary diagram for explaining a network connection according to a policy between groups of mobile terminals according to an embodiment of the present invention.
도 4는 본 발명의 실시예에 따른 내부 네트워크를 구현하는 모바일 단말들을 통한 단말의 통신을 나타내는 흐름도이다.4 is a flowchart illustrating communication of a terminal through mobile terminals implementing an internal network according to an embodiment of the present invention.
도 5는 본 발명의 실시예에 따른 모바일 단말이 내부 네트워크를 구현하여 단말간의 네트워크를 제어하는 과정을 나타낸 순서도이다.5 is a flowchart illustrating a process of controlling a network between terminals by implementing an internal network by a mobile terminal according to an embodiment of the present invention.
도 6은 본 발명의 실시예에 따른 정책 서버의 데이터베이스를 나타낸 예시도이다.6 is an exemplary diagram showing a database of a policy server according to an embodiment of the present invention.
첨부한 도면을 참고로 하여 본 발명의 실시예에 대해 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 동일 또는 유사한 구성요소에 대해서는 동일한 도면부호가 사용되었다. 또한 널리 알려져 있는 공지기술의 경우 그 구체적인 설명은 생략한다. Embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those of ordinary skill in the art may easily implement the present invention. The present invention may be implemented in various different forms and is not limited to the embodiments described herein. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and the same reference numerals are used for the same or similar components throughout the specification. Also, in the case of well-known technologies, detailed descriptions thereof will be omitted.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. Throughout the specification, when a part "includes" a certain component, it means that other components may be further included rather than excluding other components unless otherwise stated.
이하에서는 모바일 단말과 단말은 프로세서, 메모리, 디스플레이, 통신 모듈 등의 하드웨어를 포함하는 컴퓨팅 장치이다. 프로세서는 하드웨어들과 협력하여 어플리케이션을 구동한다. 디스플레이는 어플리케이션에서 제공하는 사용자 인터페이스 화면을 표시하고, 사용자 입력(예를 들면 터치 입력)을 수신할 수 있다. 단말은 터치 입력 이외에 키보드를 사용자 입력을 수신할 수 있다. 통신 모듈은 통신망에 연결된다. 통신망을 통해 어플리케이션과 서버는 데이터를 송수신한다.Hereinafter, the mobile terminal and the terminal are computing devices including hardware such as a processor, memory, display, and communication module. The processor runs the application in cooperation with the hardware. The display may display a user interface screen provided by an application and receive a user input (eg, a touch input). In addition to the touch input, the terminal may receive a user input through a keyboard. The communication module is connected to the communication network. Through the communication network, the application and the server transmit and receive data.
명세서 상에서, 모바일 단말은 내부 네트워크를 구현하는 어플리케이션이 설치된 단말이며, 단말은 모바일 단말의 어플리케이션을 이용하여 내부 네트워크에 접속하여 통신하는 장치를 의미한다. 모바일 단말과 단말은 어플리케이션의 설치 여부에 따라 구분되어지나 구현되는 형태는 동일할 수 있다. In the specification, a mobile terminal is a terminal in which an application implementing an internal network is installed, and the terminal refers to a device that accesses and communicates with an internal network using an application of the mobile terminal. The mobile terminal and the terminal are classified according to whether or not an application is installed, but the implemented form may be the same.
예를 들어 단말은 다양한 형태로 구현될 수 있고, 일반적으로 모바일 단말을 예로 들어 설명하나, 스마트패드와 같은 패드형 단말, 랩탑 컴퓨터 등 각종 형태의 컴퓨터, 웨어러블 디바이스, TV 단말 등의 형태로 구현될 수 있다. For example, a terminal can be implemented in various forms, and generally described by taking a mobile terminal as an example, but it will be implemented in the form of various types of computers such as a pad-type terminal such as a smart pad, a laptop computer, a wearable device, and a TV terminal. I can.
그리고 어플리케이션은 컴퓨터 판독 가능한 저장 매체에 저장되는 소프트웨어로서, 본 발명의 동작을 실행하는 명령어들(instructions) 및 데이터를 포함한다. 어플리케이션은 단말에 설치되고, 단말에서 실행되며, 통신망을 통해 지정된 정책 서버와 통신하며, 논리적 내부 네트워크를 구현할 수 있다. In addition, the application is software stored in a computer-readable storage medium, and includes instructions and data for executing the operation of the present invention. The application is installed on the terminal, executed on the terminal, communicates with a designated policy server through a communication network, and can implement a logical internal network.
도 1은 본 발명의 실시예에 따른 논리적 내부 네트워크를 구현하는 시스템을 개략적으로 도시한 것이다. 1 schematically illustrates a system implementing a logical internal network according to an embodiment of the present invention.
도 1에 도시한 바와 같이, 네트워크 정책을 관리하는 정책 서버(100)와 내부 네트워크 구현 어플리케이션이 설치된 모바일 단말(200)들간에 통신망으로 연결되어 있고, 각 모바일 단말(200)에는 별도의 단말(300)들이 연결되어 있으며, 해당 단말(300)들간의 데이터 통신을 수행한다. As shown in FIG. 1, the policy server 100 for managing a network policy and the mobile terminals 200 installed with the internal network implementation application are connected through a communication network, and each mobile terminal 200 has a separate terminal 300 ) Are connected, and data communication between the corresponding terminals 300 is performed.
여기서, 정책 서버(100)와 모바일 단말(200)들간에 연결된 통신망은 유선 통신 네트워크, 근거리 또는 원거리 무선 통신 네트워크, 이들이 혼합된 네트워크 등 데이터를 전달하는 모든 형태의 통신 네트워크를 포함할 수 있으며, 전용선을 이용하여 구축된 프라이빗 네트워크 형태로 구현될 수 있다. Here, the communication network connected between the policy server 100 and the mobile terminals 200 may include all types of communication networks that transmit data, such as a wired communication network, a short-range or long-distance wireless communication network, and a mixed network thereof. It can be implemented in the form of a private network built using.
정책 서버(100)는 네트워크 환경을 관리하는 정책을 설정하고, 관리하며, 네트워크로 연결된 모바일 단말(200)들의 정보를 수집하고 관리한다. The policy server 100 sets and manages a policy for managing a network environment, and collects and manages information of the mobile terminals 200 connected to the network.
그리고 정책 서버(100)는 네트워크 시스템에서의 접근 관리 정책을 데이터베이스화하여 저장하고 관리할 수 있다. 접근 관리 정책은, 네트워크로의 접속 권한 여부에 관한 것으로, 내부 네트워크 접속 권한 여부와 더불어 접속 권한 레벨에 대한 정보를 포함할 수 있다. In addition, the policy server 100 may store and manage the access management policy in the network system as a database. The access management policy relates to whether or not to access a network, and may include information on an access authority level as well as whether to access an internal network.
예를 들어, 접속 권한 레벨이 1단계에서 N 단계로 형성된 경우, 정책 서버(100)는 대상 단말의 접속 권한 레벨 이하에 대한 목적지 단말로는 접속이 가능하지만, 대상 단말의 접속 권한 레벨 이상을 가지는 목적지 단말로는 접속이 불가능하도록 접속 권한 레벨을 관리할 수 있다. (N은 자연 수)For example, when the access authority level is formed from step 1 to step N, the policy server 100 can access a destination terminal that is below the access authority level of the target terminal, but has the access authority level or higher of the target terminal. The access authority level can be managed so that access to the destination terminal is impossible. (N is a natural number)
정책 서버(100)는 모바일 단말(200)들에 할당된 접속 권한 이외에도 모바일 단말(200)에 연결된 단말(300)들에 대한 개별적인 접속 권한을 관리할 수 있다. The policy server 100 may manage individual access rights for the terminals 300 connected to the mobile terminal 200 in addition to access rights assigned to the mobile terminals 200.
이러한 정책은 하나의 실시예로 네트워크 관리자에 의해 재설정가능하며, 추후에 네트워크 환경에 따라 변경 및 설정 가능하다. This policy can be reset by the network administrator in one embodiment, and can be changed and set according to the network environment later.
모바일 단말(200)은 내부 네트워크를 구현하는 어플리케이션을 실행하고, 통신망을 통해 정책 서버(100)와 통신을 한다. 설명에서는 모바일 단말(200)이 5G 망의 네트워크를 이용하여 정책 서버(100)에 접속하고 입력된 아이디에 대한 접속 권한 여부를 확인받는 것으로 설명하나, 3G/LTE(Long Term Evolution) 망을 통해서도 가능할 수 있다.The mobile terminal 200 executes an application that implements an internal network and communicates with the policy server 100 through a communication network. In the description, it is described that the mobile terminal 200 accesses the policy server 100 using a 5G network and receives access to the input ID, but it is also possible through a 3G/LTE (Long Term Evolution) network. I can.
그리고 모바일 단말(200)은 휴대 단말, 노트북, IoT 단말, 차량 단말(vehicle), 디스플레이 단말 등 다양한 형태 및 용도의 모빌리티(Mobility) 단말일 수 있다. In addition, the mobile terminal 200 may be a mobility terminal of various types and uses, such as a portable terminal, a notebook computer, an IoT terminal, a vehicle terminal, and a display terminal.
모바일 단말(200)에 설치된 어플리케이션은 일종의 사용자 인터페이스 화면을 제공하며, 해당 사용자 인터페이스 화면을 통해 사용자 ID와 그에 따른 패스워드를 입력받을 수 있다. 상세하게 모바일 단말(200)에 설치된 어플리케이션은 내부 네트워크를 구현하기 위해, 입력받은 사용자 ID에 기초하여 네트워크 정책에 따른 사용자 권한을 확인하고, 확인된 사용자 ID에 따른 하나 이상의 단말들을 연결하고, 각 단말에서 생성된 패킷을 전송하는 기능을 수행한다. The application installed in the mobile terminal 200 provides a kind of user interface screen, and a user ID and a password according to the user ID may be input through the corresponding user interface screen. In detail, in order to implement an internal network, the application installed in the mobile terminal 200 checks the user authority according to the network policy based on the input user ID, connects one or more terminals according to the identified user ID, and each terminal Performs the function of transmitting the packet generated in.
이러한 어플리케이션은 별도의 사용자 인증 과정이나 보안 프로그램 상에서 미리 지정된 모바일 단말(200)에 설치될 수 있다Such an application may be installed in the mobile terminal 200 designated in advance in a separate user authentication process or a security program.
참고로, 설명의 편의를 위해, 네트워크 구현 어플리케이션을 동작의 주체로 설명하거나, 설치된 네트워크 구현 어플리케이션을 실행한 모바일 단말(200)을 동작의 주체로 설명할 수 있다.For reference, for convenience of explanation, the network-implemented application may be described as a subject of the operation, or the mobile terminal 200 running the installed network-implemented application may be described as the subject of the operation.
단말(300)은 모바일 단말(200)에 설치된 어플리케이션이 구현한 네트워크에 접속하여 패킷을 전송 및 수신하는 장치로 모바일 단말(200)과 동일한 형태이거나 다양한 형태로 구현될 수 있으며, 예를 들어 스마트패드와 같은 패드형 단말, 랩탑 컴퓨터 등 각종 형태의 컴퓨터, 웨어러블 디바이스, TV 단말 등의 형태로 구현될 수 있다. The terminal 300 is a device that transmits and receives packets by accessing a network implemented by an application installed in the mobile terminal 200, and may be implemented in the same or various forms as the mobile terminal 200, for example, a smart pad. It may be implemented in the form of various types of computers, such as pad type terminals, laptop computers, wearable devices, and TV terminals.
단말(300)은 모바일 단말(200)의 어플리케이션이 제공하는 내부 네트워크를 통해 서로 통신을 수행하며, 다른 모바일 단말에 연결된 상이한 단말과도 통신을 수행할 수 있다. The terminal 300 communicates with each other through an internal network provided by an application of the mobile terminal 200 and may also communicate with different terminals connected to other mobile terminals.
그리고 단말(300)은 무결성 접속과 감사를 수행하는 네트워크 엑세스 제어(Network Access Control) 클라이언트를 포함한다. In addition, the terminal 300 includes a network access control client that performs integrity access and audit.
여기서, 네트워크 엑세스 제어 클라이언트는 어플리케이션으로부터 수신한 네트워크 정책을 기반으로 무결성과 감사를 수행하며, 역할기반 접근제어(RBAC)과 구축된 보안정책 준수 점검 및 USB 등의 매체 통제를 수행할 수 있다. Here, the network access control client may perform integrity and audit based on a network policy received from an application, and may perform role-based access control (RBAC), a security policy compliance check, and media control such as USB.
편의상 패킷을 송신하는 단말을 대상 단말(300-1)로 칭하고 해당 패킷의 수신 단말을 목적지 단말(300-2)로 칭한다. For convenience, the terminal transmitting the packet is referred to as the target terminal 300-1, and the receiving terminal of the packet is referred to as the destination terminal 300-2.
예를 들어, 대상 단말(300-1)은 모바일 단말A(200-A)에 연결하여 모바일 단말A(200-A)에 설치된 네트워크 구현 어플리케이션을 통해 내부 네트워크를 이용한다. 이때 대상 단말(300-1)은 목적지 단말(300-2)로 접속하고자 하는 경우, 대상 단말(300-1)이 접속된 모바일 단말A(200-A)와 해당 목적지 단말(300-2)이 접속된 모바일 단말N(200-N)간의 통신을 수행한다. For example, the target terminal 300-1 connects to the mobile terminal A 200-A and uses an internal network through a network implementation application installed in the mobile terminal A 200-A. At this time, when the target terminal 300-1 wants to access the destination terminal 300-2, the mobile terminal A 200-A to which the target terminal 300-1 is connected and the destination terminal 300-2 Communication between the connected mobile terminals N (200-N) is performed.
이때, 모바일 단말A(200-A)와 모바일 단말N(200-N)간의 접속이 서로 허용되는 경우에만 대상 단말(300-1)과 목적지 단말(300-2)이 연결되며, 동일한 내부 네트워크 상에서 제한 없는 네트워크 사용이 가능하다. At this time, the target terminal 300-1 and the destination terminal 300-2 are connected only when access between mobile terminal A (200-A) and mobile terminal N (200-N) is allowed to each other, and on the same internal network. Unlimited network use is possible.
이하에서는 내부 네트워크를 구현하는 시스템의 각 구성 요소에 대해서 상세하게 설명한다. Hereinafter, each component of a system implementing an internal network will be described in detail.
도 2는 본 발명의 실시예에 따른 내부 네트워크를 구현하는 모바일 단말과 정책 서버 그리고 단말을 나타낸 구성도이다. 2 is a block diagram showing a mobile terminal, a policy server, and a terminal implementing an internal network according to an embodiment of the present invention.
도 2에 도시한 바와 같이, 정책 서버(100)에서 설정된 접속권한 정책에 대응하여 모바일 단말(200)의 어플리케이션(210)은 내부 네트워크에 접속 권한 여부를 확인하고, 단말(300)과의 연결을 수행하여 패킷을 송수신한다. As shown in Figure 2, in response to the access permission policy set in the policy server 100, the application 210 of the mobile terminal 200 checks whether the access right to the internal network, and establishes a connection with the terminal 300. To transmit and receive packets.
정책 서버(100)는 모바일 단말(200)로부터 요청받은 권한 여부를 확인하여 해당 모바일 단말(200)로 회신하는 정책 관리부(110)와 네트워크 정책 또는 모바일 단말(200)들의 정보를 저장하는 데이터베이스(120)를 포함한다.The policy server 100 checks the authority requested from the mobile terminal 200 and returns a policy management unit 110 to the mobile terminal 200 and a database 120 that stores information on the network policy or the mobile terminal 200. ).
정책 관리부(110)는 모바일 단말(200)과의 통신을 통해 해당 사용자 ID에 기초하여 미리 설정된 데이터베이스(120)를 검색하고, 해당 데이터베이스(120) 에 대한 매칭된 ID를 확인한다. The policy management unit 110 searches for a preset database 120 based on a corresponding user ID through communication with the mobile terminal 200 and checks the matched ID for the database 120.
정책 관리부(110)는 매칭된 ID 정보에 요청된 권한을 가지는 경우에는 권한 승인에 대한 피드백을 해당 모바일 단말(200)로 전송하고, 요청된 권한을 가지지 않는 경우에는 권한 불승인에 대한 피드백을 해당 모바일 단말(200)로 전송할 수 있다. When the policy management unit 110 has the requested authority for the matched ID information, it transmits the feedback on the authorization approval to the mobile terminal 200, and if it does not have the requested authority, the feedback on the authorization disapproval is sent to the mobile device. It can be transmitted to the terminal 200.
그리고 정책 관리부(110)는 연결된 모바일 단말(200)로부터의 로그인 정보(ID/Password), 발급한 IP 주소 및 MAC 주소, 접속 권한 레벨 등의 데이터를 실시간으로 수집하여 테이블 형태로 데이터베이스(120)에 저장하고 관리할 수 있다. In addition, the policy management unit 110 collects data such as login information (ID/Password), issued IP address and MAC address, and access authority level from the connected mobile terminal 200 in real time, and stores the data in the database 120 in the form of a table. Can be stored and managed.
이외에도 정책 관리부(110)는 연결된 다수개의 모바일 단말(200)에 연결된 단말(300)들의 기본 정보, 고유 번호, IP 주소, MAC 주소, S/N [signal-noise ratio], 트래픽 정보, 사용 이력 정보 등을 수집하여 저장할 수 있다. 예를 들어, 정책 관리부(110)는 모바일 단말(200)들과 실시간으로 통신을 수행하여 모바일 단말(200)에서 수집한 다양한 정보들을 수신하여 데이터베이스(120)에 기록하고 관리할 수 있다. In addition, the policy management unit 110 includes basic information, unique numbers, IP addresses, MAC addresses, S/N [signal-noise ratio], traffic information, and usage history information of terminals 300 connected to a plurality of connected mobile terminals 200. Etc. can be collected and stored. For example, the policy management unit 110 may perform real-time communication with the mobile terminals 200 to receive various pieces of information collected by the mobile terminals 200, and record and manage them in the database 120.
이러한 정보들을 기초하여 정책 관리부(110)는 단말들을 개별적으로 인식하고, 각 단말마다 설정된 개별 정책을 적용할 수 있다. 예를 들어, 연결된 모바일 단말(200)과 일부 상이한 접속 권한을 단말(300)에 적용할 수 있다. Based on such information, the policy management unit 110 may individually recognize the terminals and apply an individual policy set for each terminal. For example, some different access rights from the connected mobile terminal 200 may be applied to the terminal 300.
상세하게는, 정책 관리부(110)는 모바일 단말(200)의 어플리케이션을 통해 구현하고 있는 내부 네트워크의 접속 권한, 또는 상이한 모바일 단말(200)에 접속된 단말(300)로의 접속 권한에 대해 사용자 ID를 기초로 권한 여부를 확인하고 그에 대응하는 응답을 제공할 수 있다. In detail, the policy management unit 110 provides a user ID for access rights to an internal network implemented through an application of the mobile terminal 200 or access rights to a terminal 300 connected to a different mobile terminal 200. The authority can be checked based on the authority and a response corresponding thereto can be provided.
데이터베이스(120)에는 사용자 ID에 기초하여 네트워크 접속 권한, 다른 모바일 단말들로의 접속 권한 등이 설정된 네트워크 정책 데이터베이스와 실시간으로 접속한 모바일 단말의 정보를 저장한 데이터베이스가 별도로 구축될 수 있다. In the database 120, a network policy database in which network access rights, access rights to other mobile terminals, etc. are set based on a user ID, and a database storing information of a mobile terminal connected in real time may be separately constructed.
그리고 정책서버(100)와 모바일 단말(200)은 네트워크로 긴밀하게 연결되어 각 모바일 단말(200)에 설치된 어플리케이션의 구동 권한과 사용자 정보를 동기화한다. In addition, the policy server 100 and the mobile terminal 200 are closely connected through a network to synchronize the driving rights and user information of the application installed in each mobile terminal 200.
모바일 단말(200)의 어플리케이션(210)은 네트워크 접속 권한을 관리하는 정책 관리부(211), 패킷 수신부(212), 단말 관리부(213) 그리고 패킷 포워딩부(214)를 포함한다. The application 210 of the mobile terminal 200 includes a policy management unit 211, a packet reception unit 212, a terminal management unit 213, and a packet forwarding unit 214 for managing network access rights.
정책 관리부(211)는 어플리케이션이 실행되어 입력받은 사용자 ID와 패스워드에 기초하여 정책 서버(100)과 실시간으로 접속하여 사용자의 접속 권한을 확인한다. The policy management unit 211 connects to the policy server 100 in real time based on the user ID and password input by executing the application to check the access authority of the user.
다시 말해 정책 관리부(210)는 모바일 네트워크 환경으로 내부 네트워크를 접속 가능한 권한을 인증하기 위해 정책 서버(100)와 접속 권한 질의를 통해 접속 권한 응답을 수신한다. In other words, the policy management unit 210 receives an access permission response through the policy server 100 and an access permission query in order to authenticate the permission to access the internal network in a mobile network environment.
여기서, 정책 관리부(211)는 해당 모바일 단말을 이용가능한 사용자에 대한 ID를 미리 등록하고, 별도로 사용자 인증 데이터베이스를 관리하여 어플리케이션에서 입력되는 사용자 ID와 패스워드의 일치 여부를 확인한 후, 사용자 ID만을 이용하여 정책 서버(100)로 접속 권한 여부를 확인할 수 있다. Here, the policy management unit 211 pre-registers IDs for users who can use the mobile terminal, separately manages a user authentication database to check whether the user ID input from the application matches the password, and then uses only the user ID. The policy server 100 can check whether access is authorized.
이때, 사용자 인증으로 사용되는 방법으로 사용자 ID와 패스워드로 설명하고 있지만, 반드시 이에 한정하는 것은 아니고, 사용자의 인체 인증 방식(홍채, 지문 등) 이나 패턴 인식 등으로 인증을 수행할 수 있다. In this case, the method used for user authentication is described with a user ID and password, but is not limited thereto, and authentication may be performed using a user's human body authentication method (iris, fingerprint, etc.) or pattern recognition.
이러한 경우 정책 관리부(211)는 해당 인증 방식을 통해 추출된 특징점을 가지는 사용자를 사용자 인증 데이터베이스에서 검색하여 일치 여부를 1차적으로 판단하고, 사용자 인증 데이터베이스에 해당 사용자 인증이 확인되면, 각 사용자에 대응되는 인증 코드를 정책 서버(100)로 전송하여 접속 권한을 확인받을 수 있다. In this case, the policy management unit 211 searches for a user having a feature point extracted through the authentication method in the user authentication database to determine whether it is matched, and when the user authentication is confirmed in the user authentication database, the policy management unit 211 responds to each user. The authentication code that is used may be transmitted to the policy server 100 to receive access authorization.
패킷 수신부(212)는 어플리케이션이 구현하는 네트워크에 접속하고자 하는 단말로부터 발생되는 모든 패킷을 수신한다. 패킷 수신부(212)는 일정한 근거리에 위치하는 단말(300)로부터 접속 패킷, 데이터 송수신 패킷, 제어 신호 패킷 등을 수신한다. The packet receiving unit 212 receives all packets generated from a terminal to access a network implemented by an application. The packet receiving unit 212 receives an access packet, a data transmission/reception packet, a control signal packet, and the like from the terminal 300 located in a certain short distance.
단말 관리부(213)는 단말(300)로부터의 와이파이 접속 요청에 대해 단말(300)의 무결성 접속을 확인한 후, 와이파이(Wi-Fi) 테더링(Tethering)을 수행한다.The terminal management unit 213 checks the integrity connection of the terminal 300 in response to the Wi-Fi access request from the terminal 300 and then performs Wi-Fi tethering.
단말 관리부(213)는 연결 요청을 송신한 단말(300)로부터 무결성 검사 결과를 요청하고, 패킷 수신부(212)를 통해 전달받은 무결성 검사 결과를 확인할 수 있다. The terminal management unit 213 may request an integrity check result from the terminal 300 that has transmitted the connection request, and check the integrity check result transmitted through the packet receiving unit 212.
그리고 단말 관리부(213)는 사용할 수 있는 IP 리스트를 관리하여 Wi-Fi 접속 요청하는 단말(300)에 사용가능한 IP를 발급할 수 있다. In addition, the terminal management unit 213 may manage a list of available IPs to issue an available IP to the terminal 300 requesting a Wi-Fi connection.
여기서 발급한 IP는 중복되지 않기 때문에 발급된 IP를 통해 단말(300)의 트래픽과 이력의 추적을 제어하거나 조회할 수 있다. Since the issued IP is not duplicated, tracking of the traffic and history of the terminal 300 can be controlled or inquired through the issued IP.
이하에서는 와이파이 테더링에 대해서 설명하지만 반드시 이에 한정하는 것은 아니고 적용되는 상황에 따라서 USB 테더링, 블루투스 테더링 등을 수행할 수 있다.Hereinafter, Wi-Fi tethering will be described, but the present invention is not limited thereto, and USB tethering, Bluetooth tethering, and the like may be performed according to an applied situation.
단말 관리부(213)는 하나 이상의 단말(300)과의 연결하여 관리하기 위해 발급된 IP와 각 단말(300)별로 고유번호를 연계한 리스트를 생성할 수 있다. 이에 단말 관리부(213)는 단말(300)의 접속 요청 정보를 수집하고, 해당 단말(300)의 접속 요청 정보와 발급한 IP 주소와 연계하여 데이터베이스에 기록할 수 있으며, 이를 정책 서버(100)로 전송할 수 있다. The terminal management unit 213 may create a list in which an IP issued to connect and manage one or more terminals 300 and a unique number for each terminal 300 are associated. Accordingly, the terminal management unit 213 may collect the connection request information of the terminal 300 and record it in the database in association with the connection request information of the terminal 300 and the issued IP address, which is then transferred to the policy server 100. Can be transmitted.
상세하게는 단말 관리부(213)는 단말들의 IP를 기초하여 트래픽과 사용 이력에 대한 추적 데이터들을 수집할 수 있다. In detail, the terminal management unit 213 may collect tracking data on traffic and usage history based on the IPs of the terminals.
패킷 포워딩부(214)는 수신한 패킷이 특정 단말로의 접속 요청 패킷인 경우, 특정 단말로 패킷을 전송하거나 연결된 단말(300)에서 수신한 패킷을 단말(300)로 전송한다. When the received packet is an access request packet to a specific terminal, the packet forwarding unit 214 transmits the packet to the specific terminal or transmits the packet received from the connected terminal 300 to the terminal 300.
한편, 패킷 수신부(212)와 패킷 포워딩부(214)는 패킷의 암복호화을 수행할 수 있다. Meanwhile, the packet receiving unit 212 and the packet forwarding unit 214 may perform encryption/decryption of a packet.
예를 들어, 패킷 수신부(212)는 암호화된 패킷을 수신하면 해당 패킷을 복호화를 수행하여 해당 패킷의 목적지를 확인하고 목적지가 접속되어 있는 단말(300)인 경우, 패킷 포워딩부(214)에서 복호화한 패킷을 단말(300)로 전송할 수 있다. 또한, 수신한 패킷의 목적지가 다른 모바일 단말에 접속된 단말인 경우에 목적지와의 통신이 가능하면, 패킷 포워딩부(214)에서 수시한 패킷을 암호화하여 목적지로 전송할 수 있다. For example, when receiving an encrypted packet, the packet receiving unit 212 decodes the packet to check the destination of the packet, and if the destination is the terminal 300 to which the destination is connected, the packet forwarding unit 214 decrypts the packet. One packet may be transmitted to the terminal 300. In addition, if the destination of the received packet is a terminal connected to another mobile terminal and communication with the destination is possible, the packet forwarding unit 214 may encrypt the packet received and transmit it to the destination.
다시 말해, 상이한 모바일 단말(200)간의 통신으로 패킷을 송수신하는 경우, 각각 패킷 수신부와 패킷 포워딩부에서 패킷에 대한 암호화 및 복호화를 수행할 수 있다. 이하에서는 암호화 및 복호화의 과정을 별도로 기재하지 않더라도 패킷의 송수신함에 있어 암호화 및 복호화 단계를 수행한다. In other words, when a packet is transmitted/received through communication between different mobile terminals 200, the packet receiving unit and the packet forwarding unit may respectively perform encryption and decryption on the packet. Hereinafter, encryption and decryption steps are performed in transmitting/receiving packets even if the process of encryption and decryption is not separately described.
단말(300)은 내부 무선인터넷 모듈(Wi-Fi)을 통해 발급된 IP로 무선 접속하여, 모바일 단말(200)에서 구현한 내부 네트워크를 통해 통신을 수행한다. The terminal 300 wirelessly accesses an IP issued through an internal wireless Internet module (Wi-Fi) and performs communication through an internal network implemented in the mobile terminal 200.
단말(300)에는 네트워크 엑세스 제어(Network Access Control) 클라이언트를 포함하고, 네트워크 엑세스 제어 클라이언트를 통해 무결성 접속을 확인하고 감시할 수 있다. The terminal 300 may include a network access control client, and check and monitor integrity access through the network access control client.
예를 들어, 필수 소프트웨어 설치 검사, 악성 소프트웨어 설치 검사 등과 같이 단말의 무결성을 검사하는 다양한 검사 중에 하나 이상을 검사할 수 있다.For example, one or more of a variety of tests for checking the integrity of a terminal, such as a required software installation scan and a malicious software installation scan, may be tested.
도 3은 본 발명의 실시예에 따른 모바일 단말의 그룹간의 정책에 따른 네트워크 연결을 설명하기 위한 예시도이다. 3 is an exemplary diagram for explaining a network connection according to a policy between groups of mobile terminals according to an embodiment of the present invention.
도 3에 도시한 바와 같이, 모바일 단말(200)들은 인증된 사용자 ID에 할당된 접속 권한 레벨, 사용자 ID에 대응하는 부서, 직책, 직위 등을 포함하는 내부 규칙, 프로젝트 형식의 기간이 설정된 이벤트성 정책 등에 기초하여 G10, G20, 그리고 G30 과 같이 그룹핑 될 수 있다. As shown in FIG. 3, the mobile terminals 200 are provided with an internal rule including a level of access authority assigned to an authenticated user ID, a department corresponding to the user ID, a title, a title, etc. It can be grouped as G10, G20, and G30 based on policies, etc.
여기서, 같은 그룹에 있는 모바일 단말간에는 별도의 접속 가능 확인 절차없이 제한 없는 네트워크 사용이 가능하지만, 다른 그룹에 있는 모바일 단말간에는 접속 권한에 대한 절차를 진행해야 한다. Here, an unlimited network can be used without a separate connection availability confirmation procedure between mobile terminals in the same group, but a procedure for access authority must be performed between mobile terminals in different groups.
예를 들어 G10에 속한 모바일 단말A에 연결된 단말(300)이 동일 그룹에 속하지 않은 단말로 데이터 통신을 수행하고자 한다면, 모바일 단말A는 정책 서버(100)에 접속하여 통신하고자 하는 단말에 대해 접속 권한을 확인한 후 패킷을 전송하고 포워딩할 수 있다. For example, if the terminal 300 connected to the mobile terminal A belonging to G10 wants to perform data communication to a terminal that does not belong to the same group, the mobile terminal A accesses the policy server 100 to access the terminal to communicate with. After checking, you can transmit and forward the packet.
이때, G10그룹에 속한 단말은 G20 그룹이나 G10 그룹에 속한 단말에 접속 권한을 가지고 있기 때문에 정책 서버(100)로부터 접속 권한이 승인되면 제한 없는 네트워크 사용할 수 있다. At this time, since the terminal belonging to the G10 group has access right to the terminal belonging to the G20 group or the G10 group, if the access right is approved from the policy server 100, an unlimited network can be used.
하지만, G20 그룹에 속한 단말은 G10 그룹에 속한 단말과 자유로운 통신이 가능하지만, G30 그룹에 속한 단말과는 네트워크 사용이 제한된다. However, a terminal belonging to the G20 group can freely communicate with a terminal belonging to the G10 group, but network use is limited with a terminal belonging to the G30 group.
또한, G30 그룹에 속한 단말은 G10 그룹으로부터 패킷을 수신할 수 있지만, 외부로의 데이터 전송이 제한되도록 설정될 수도 있다. 이러한 경우, G10 그룹에 속한 단말은 G30 그룹에 속한 단말로 패킷을 전송하고 전송을 완료한 응답 패킷만을 확인할 수 있다. In addition, a terminal belonging to the G30 group may receive a packet from the G10 group, but may be configured to limit data transmission to the outside. In this case, the terminal belonging to the G10 group can transmit the packet to the terminal belonging to the G30 group and check only the response packet that has been transmitted.
이와 같이, 모바일 단말들을 그룹화하여 그룹간의 네트워크 사용을 달리 적용함으로써, 동일한 내부 네트워크 상에서도 각 그룹별 독립적인 인트라넷을 구성할 수 있다. In this way, by grouping mobile terminals and applying different network usage between groups, an independent intranet for each group can be formed even on the same internal network.
이러한 그룹간의 정책은 추후에 관리자에 의해 용이하게 변경 및 설정 가능하며, 정책에 따라 특정 모바일 단말에 연결되는 다양한 단말들 간의 통신을 각각 다르게 관리할 수 있다. The group policy can be easily changed and set by an administrator later, and communication between various terminals connected to a specific mobile terminal can be managed differently according to the policy.
예를 들어, 모바일 단말의 접속 권한 이외에도 모바일 단말에 연결된 단말의 고유 값(IP, S/N, MAC 등)을 기준으로 개별 접속 권한을 설정할 수 있다. 모바일 단말에 접속된 단말 1과 단말 2 중에서 단말 1에는 모바일 단말의 접속 권한에 따라 접속 권한을 가지도록 설정하고 단말 2에는 모바일 단말의 접속 권한과 상이한 접속 권한을 가지도록 설정할 수 있다. For example, in addition to the access rights of the mobile terminal, individual access rights can be set based on unique values (IP, S/N, MAC, etc.) of the terminal connected to the mobile terminal. Among terminals 1 and 2 connected to the mobile terminal, terminal 1 may be set to have access rights according to the access rights of the mobile terminal, and terminal 2 may be set to have access rights different from the access rights of the mobile terminal.
이에 단말 2는 모바일 단말이 접속 가능한 단말들과 접속이 불가하도록 설정가능하며, 반대로 모바일 단말이 접속 불가능한 단말 중에서 일부 특정 단말에 대해서 접속이 가능하도록 설정도 가능하다. Accordingly, the terminal 2 can be set so that the mobile terminal cannot connect to the accessible terminals, and conversely, the mobile terminal can be set to allow access to some specific terminals among the terminals to which the mobile terminal is not accessible.
이처럼 모바일 단말을 기준으로 접속하는 단말에 대해서 일괄적으로 정책을 적용하거나 단말들에 대한 개별적으로 설정된 정책을 통해 접속을 제어할 수 있다. In this way, a policy can be applied to terminals that access the mobile terminal as a standard, or access can be controlled through policies individually set for the terminals.
이와 같이 단말의 개별 정책의 경우에는 별도로 개별 정책을 수행하는 코드를 추가 기재하거나 정책 레벨을 상이하게 설정하여 모바일 단말(200)과 정책 서버(100)에서 관리할 수 있다. As described above, in the case of the individual policy of the terminal, a code for performing an individual policy may be additionally described or a policy level may be set differently and managed by the mobile terminal 200 and the policy server 100.
이하에서는 이와 같이 상이한 모바일 단말에 연결된 단말간의 통신에 대해서 상세하게 설명한다. Hereinafter, communication between terminals connected to different mobile terminals will be described in detail.
도 4는 본 발명의 실시예에 따른 내부 네트워크를 구현하는 모바일 단말들을 통한 단말의 통신을 나타내는 흐름도이다.4 is a flowchart illustrating communication of a terminal through mobile terminals implementing an internal network according to an embodiment of the present invention.
도 4에서의 단말(300-1)은 모바일 단말A(200-A)에 ID인증을 통해 발급받은 IP로 접속된 상태이고, 단말(300-2)은 모바일 단말B(200-B)에 ID인증을 통해 발급받은 IP로 접속된 상태에서의 각각의 내부 네트워크를 통해 통신을 수행하고 있는 상태이다. In FIG. 4, the terminal 300-1 is connected to the mobile terminal A 200-A with an IP issued through ID authentication, and the terminal 300-2 has an ID on the mobile terminal B 200-B. Communication is being performed through each internal network while connected to the IP issued through authentication.
이때, 단말(300-1)은 단말(300-2)을 목적지로 하는 목적지 접속 패킷을 모바일 단말(200-A)에 전송한다. 모바일 단말(200-A)은 목적지 접속 패킷에 대한 목적지 단말(300-2)이 동일한 그룹에 접속된 단말인지 확인한다. At this time, the terminal 300-1 transmits a destination access packet destined for the terminal 300-2 to the mobile terminal 200-A. The mobile terminal 200-A checks whether the destination terminal 300-2 for the destination access packet is a terminal connected to the same group.
예를 들어, 모바일 단말(200-A)은 모바일 단말(200-A)에 접속한 상이한 단말인지, 아니면 모바일 단말(200-A)이 포함된 그룹 내에서 연결된 단말인지 확인할 수 있다. 이는 모바일 단말(200-A)에서 연결된 단말에 대한 정보를 관리하고 있기 때문에 같은 그룹내에 연결된 단말들의 정보와 목적지 단말(300-2)간에 매칭된 정보가 있는지를 확인할 수 있다. For example, the mobile terminal 200-A may check whether it is a different terminal connected to the mobile terminal 200-A or a terminal connected within a group including the mobile terminal 200-A. This is because the mobile terminal 200-A manages information on the connected terminal, it is possible to check whether there is matching information between the information of the terminal connected in the same group and the destination terminal 300-2.
같은 그룹 내에서 연결된 단말이 아닌 경우, 모바일 단말(200-A)은 정책 서버(100)에 접속하여 해당 목적지 단말(300-2)의 접속 정보를 확인하고, 접속 권한을 요청할 수 있다. If the terminal is not connected within the same group, the mobile terminal 200 -A may access the policy server 100 to check access information of the destination terminal 300-2 and request access permission.
이에 접속이 허가된 패킷의 경우 모바일 단말 A(200-A)의 패킷 포워딩부(214)에서 목적지 단말(300-2)의 접속 정보에 해당하는 모바일 단말B(200-B)로 목적지 접속 패킷을 전송할 수 있다. 이때 모바일 단말 A(200-A)는 접속이 허가된 패킷이라는 보안 코드를 추가하여 목적지 접속 패킷을 전송할 수 있다. Accordingly, in the case of a packet for which access is permitted, a destination access packet is transmitted from the packet forwarding unit 214 of the mobile terminal A 200-A to the mobile terminal B 200-B corresponding to the access information of the destination terminal 300-2. Can be transmitted. At this time, the mobile terminal A (200-A) may transmit a destination access packet by adding a security code indicating a packet for which access is permitted.
그리고 이때 목적지 접속 패킷은 캡슐화(Capsulation)하여 모바일 단말B(200-B)로 전송할 수 있다. In this case, the destination access packet may be encapsulated and transmitted to the mobile terminal B 200-B.
캡슐화는 객체 내에 정보를 숨기고, 다른 객체가 그 정보에 상호 작용하도록 허용하는 외부 접속을 제공하지만, 그것에 대한 직접 접근을 허용하지 않는 기술을 나타낸다. Encapsulation refers to a technique that hides information within an object and provides external access that allows other objects to interact with that information, but does not allow direct access to it.
그리고 모바일 단말B(200-B)의 패킷 수신부(212)에서 목적지 접속 패킷을 수신하면, 캡슐화된 목적지 접속 패킷을 확인하여(Encapsulation) 단말 관리부(133)에서 해당 목적지 단말이 접속된 단말 중에 하나 인지 확인한다. 그리고 해당 패킷이 접속이 허가된 단말(300-1)로부터 수신한 패킷인지 확인한 후, 해당 목적지 접속 패킷을 목적지 단말(300-2)로 전송한다. And when the destination access packet is received by the packet receiving unit 212 of the mobile terminal B 200-B, the encapsulated destination access packet is checked (Encapsulation), and the terminal management unit 133 recognizes that the destination terminal is one of the connected terminals. Confirm. Then, after checking whether the packet is a packet received from the terminal 300-1 to which access is permitted, the corresponding destination access packet is transmitted to the destination terminal 300-2.
예를 들어 모바일 단말B(200-B)은 정책 서버(100)로 접속하여 해당 단말(300-1)의 접속이 허용되는 지에 대한 확인을 수행하거나 패킷 자체에 추가된 보안 코드를 확인할 수 있다. For example, the mobile terminal B (200-B) may access the policy server 100 to check whether the connection of the terminal 300-1 is allowed, or check the security code added to the packet itself.
목적지 단말(300-2)은 수신한 목적지 접속 패킷에 의해 목적지 응답 패킷을 전송하고, 이는 앞서 설명한 과정과 동일하게 모바일 단말B(200-B)에서 모바일 단말A(200-A)에 전송되고, 이는 다시 단말(300-1)에 전송된다. The destination terminal 300-2 transmits a destination response packet according to the received destination access packet, which is transmitted from the mobile terminal B 200-B to the mobile terminal A 200-A in the same manner as described above, This is transmitted to the terminal 300-1 again.
이때, 모바일 단말(200)에 접속된 단말(300)간의 송수신되는 패킷과 서로 상이한 모바일 단말간에 송수신된 패킷은 각각 다른 방법을 통해 암호화 및 복호화를 수행할 수 있다. In this case, a packet transmitted/received between terminals 300 connected to the mobile terminal 200 and a packet transmitted/received between different mobile terminals may be encrypted and decrypted through different methods.
이하에서는 도 5 및 도 6을 이용하여 모바일 단말의 어플리케이션을 통해 구현된 내부 네트워크를 이용하는 단말간의 통신 수행 과정을 설명한다. Hereinafter, a process of performing communication between terminals using an internal network implemented through an application of a mobile terminal will be described with reference to FIGS. 5 and 6.
도 5는 본 발명의 실시예에 따른 모바일 단말이 내부 네트워크를 구현하여 단말간의 네트워크를 제어하는 과정을 나타낸 순서도이고, 도 6은 본 발명의 실시예에 따른 정책 서버의 데이터베이스를 나타낸 예시도이다.5 is a flowchart illustrating a process of controlling a network between terminals by implementing an internal network by a mobile terminal according to an embodiment of the present invention, and FIG. 6 is an exemplary diagram showing a database of a policy server according to an embodiment of the present invention.
도 5에 도시한 바와 같이, 모바일 단말(200)은 어플리케이션을 구동하여 사용자 인증을 수행한다(S110).As shown in FIG. 5, the mobile terminal 200 performs user authentication by driving an application (S110).
예를 들어 모바일 단말(200)은 어플리케이션(210)에서 제공하는 인터페이스 화면을 통해 사용자로부터 입력받은 아이디와 패스워드를 확인하여 로그인을 수행할 수 있다. For example, the mobile terminal 200 may perform login by checking an ID and password input from a user through an interface screen provided by the application 210.
그리고 모바일 단말(200)은 사용자 인증 정보에 대한 접속 권한을 확인한다(S120). Then, the mobile terminal 200 checks the access authority for the user authentication information (S120).
모바일 단말(200)은 정책 서버(100)에 해당 아이디에 대한 접속 권한을 요청한다. 이에 정책 서버(100)는 모바일 단말(200)로부터 전달받은 접속 권한 요청 정보를 데이터베이스에 저장하고, 해당 접속 권한 요청 정보를 미리 구축한 정책 정보와 매칭되는 정보를 검색한다. 이를 통해 정책 서버(100)는 해당 접속 권한 요청에 대한 승인 또는 권한 정보를 전송할 수 있다. The mobile terminal 200 requests the policy server 100 for permission to access the ID. Accordingly, the policy server 100 stores the access permission request information received from the mobile terminal 200 in a database, and searches for information matching the access permission request information with previously established policy information. Through this, the policy server 100 may transmit permission information or approval for a corresponding access permission request.
여기서 권한 정보는 내부 네트워크에 접속 권한 정보 이외에도 그룹핑하는 기준 정보, 그룹간 정책 정보, 접속 가능한 상이한 모바일 단말 또는 해당 모바일 단말에 접속한 단말의 정보들을 포함하는 접속 가능한 단말 정보 또는 접속 권한 레벨 등을 더 포함할 수 있다. In addition to the access right information to the internal network, the authority information further includes reference information for grouping, policy information between groups, accessible terminal information or access authority level including information of different mobile terminals that can be accessed or terminals that have accessed the mobile terminal. Can include.
다음으로 모바일 단말(200)은 접속 권한이 확인되면 핫스팟을 활성화한다(S130).Next, when the access right is confirmed, the mobile terminal 200 activates the hotspot (S130).
모바일 단말(200)은 해당 단말의 어플리케이션 접속과 동시에 핫스팟(HotSpot)을 활성화하고, 이를 통해 단말은 Wi-Fi 접속 허용을 요청한다.The mobile terminal 200 activates a hotspot at the same time as accessing the application of the terminal, and through this, the terminal requests permission to access Wi-Fi.
모바일 단말(200)은 해당 아이디에 대응하는 단말의 접속 요청에 대한 연결 승인을 수행하고 해당 단말로 IP를 발급한다(S140).The mobile terminal 200 performs connection approval for the connection request of the terminal corresponding to the corresponding ID and issues an IP to the terminal (S140).
모바일 단말(200)에서 실행 중인 어플리케이션은 단말(300)의 Wi-Fi 접속 요청 정보를 수집하여 기록하고 해당 단말(300)로 무결성 접속 검사와 감시 결과를 요청한다. 이에 단말(300)로부터 무결성을 확인하면, 사용 가능한 IP 를 발급하여 Wi-Fi 연결을 하여 단말(300)의 네트워크 사용을 허용한다. 모바일 단말(200)은 수집한 단말(300)의 정보, 접속 요청 정보, 무결성 확인 정보, 발급한 IP 등을 정책 서버(100)와 공유할 수 있다. The application running on the mobile terminal 200 collects and records Wi-Fi connection request information of the terminal 300, and requests an integrity connection check and monitoring result to the terminal 300. Accordingly, if integrity is verified from the terminal 300, an available IP is issued to establish a Wi-Fi connection to allow the terminal 300 to use the network. The mobile terminal 200 may share the collected information of the terminal 300, access request information, integrity check information, issued IP, and the like with the policy server 100.
그러면 단말(300)은 연결된 Wi-Fi를 통해 네트워크 접속하여 인터넷을 사용할 수 있다. Then, the terminal 300 can access the network through the connected Wi-Fi and use the Internet.
다음으로 모바일 단말(200)은 발급된 IP로 접속한 단말로부터 목적지 단말로 전송할 접속 패킷을 수신한다(S150).Next, the mobile terminal 200 receives an access packet to be transmitted to the destination terminal from the terminal connected with the issued IP (S150).
모바일 단말(200)은 단말(300)에서 발생하는 모든 패킷을 수신하고 포워딩 여부를 확인한다.The mobile terminal 200 receives all packets generated by the terminal 300 and checks whether forwarding is performed.
이에 모바일 단말(200)은 목적지 단말과의 접속 가능 여부를 확인한다(S160).Accordingly, the mobile terminal 200 checks whether connection with the destination terminal is possible (S160).
모바일 단말(200)은 목적지 단말이 속한 그룹을 확인하기 위해 동일 그룹 내에 목적지 단말이 접속해 있는 지 확인하고, 정책 서버(100)로부터 해당 목적지 단말로의 권한을 요청할 수 있다. The mobile terminal 200 may check whether a destination terminal is connected within the same group in order to check a group to which the destination terminal belongs, and may request permission from the policy server 100 to the destination terminal.
정책 서버(100)는 모바일 단말(200)들로부터 공유된 단말 정보들을 비교하여 목적지 단말이 속한 그룹을 확인하고, 해당 단말(300)과 목적지 단말(300-1)간의 정책을 확인할 수 있다. The policy server 100 may compare terminal information shared from the mobile terminals 200 to check a group to which the destination terminal belongs, and check a policy between the corresponding terminal 300 and the destination terminal 300-1.
이처럼 정책 서버(100)는 모바일 단말 간의 정책 이외에도 각 모바일 단말에 접속한 단말(300)들의 개별 접속 권한을 나타내는 세부 정책에 대해서 확인할 수 있다. As such, the policy server 100 may check detailed policies indicating individual access rights of terminals 300 connected to each mobile terminal in addition to policies between mobile terminals.
정책 서버(100)로부터 해당 단말(300)이 목적지 단말(300-1)로의 접속 권한이 없는 것으로 확인되면, 모바일 단말(200)은 접속 패킷 드랍하고 드랍 메시지를 단말에 전달한다(S170).When it is determined from the policy server 100 that the terminal 300 does not have access rights to the destination terminal 300-1, the mobile terminal 200 drops an access packet and transmits a drop message to the terminal (S170).
한편, 정책 서버(100)로부터 해당 단말(300)이 목적지 단말(300-1)로의 접속 권한을 승인받으면, 접속 권한 승인과 함께 목적지 단말(300-1)이 접속한 모바일 단말을 나타내는 접속정보를 수신한다. On the other hand, when the terminal 300 is authorized to access the destination terminal 300-1 from the policy server 100, the access information indicating the mobile terminal to which the destination terminal 300-1 is accessed is displayed together with the access permission approval. Receive.
한편, 모바일 단말(200)은 단말(300)로부터 목적지 단말(300-1)의 IP를 포함한 접속 패킷을 수신하는 경우, 해당 IP를 이용하여 목적지 단말(300-1)과의 접속 가능 여부를 확인하거나 정책 서버(100)로 접속 권한 확인을 요청할 수 있다. 이에 접속 권한을 승인을 받으면, 모바일 단말(200)은 해당 IP로 접속 패킷을 포워딩하면, 해당 IP를 관리하고 있는 상이한 모바일 단말이 해당 접속 패킷을 수신할 수 있다. On the other hand, when the mobile terminal 200 receives an access packet including the IP of the destination terminal 300-1 from the terminal 300, the mobile terminal 200 checks whether access to the destination terminal 300-1 is possible using the IP. Alternatively, the policy server 100 may request access authority confirmation. Accordingly, when the access authority is granted, the mobile terminal 200 forwards the access packet to the corresponding IP, so that different mobile terminals managing the IP may receive the access packet.
이처럼 모바일 단말(200)은 목적지 단말과 접속이 가능하면, 목적지 단말과 연결된 또 다른 모바일 단말로 패킷을 전송하고 응답 패킷을 수신하여 단말에 전달한다(S180)As described above, if the mobile terminal 200 can access the destination terminal, it transmits a packet to another mobile terminal connected to the destination terminal, receives a response packet, and delivers it to the terminal (S180).
모바일 단말(200)간의 패킷 통신을 통해 단말(300)과 목적지 단말(300-2)과의 패킷을 송수신하는 S180 단계는 앞서 도 4에서 설명하였으므로 중복되는 설명은 생략한다. Step S180 of transmitting and receiving packets between the terminal 300 and the destination terminal 300-2 through packet communication between the mobile terminals 200 has been previously described in FIG. 4, and thus a redundant description will be omitted.
한편, 정책 서버(100)에서는 도 6에서와 같이, 모바일 단말(200)과 단말(300)의 접속 정보를 데이터베이스(120)에 저장하여 관리한다. Meanwhile, as shown in FIG. 6, the policy server 100 stores and manages access information between the mobile terminal 200 and the terminal 300 in the database 120.
사용자 ID와 패스워드(PWD)를 기준으로 연결된 단말 정보, IP 주소, MAC 주소 그리고 각 설정된 네트워크 정책 등에 대해 테이블에 저장하여 관리한다. 또한, 각 단말의 트래픽과 사용 이력에 대한 추적 데이터와 그에 따른 어플리케이션의 제어 방안 등에 대해 각 어플리케이션과 연계하여 저장하고 관리할 수 있다. Based on user ID and password (PWD), connected terminal information, IP address, MAC address, and each set network policy are stored and managed in a table. In addition, tracking data on the traffic and usage history of each terminal, and a control plan for the application accordingly, can be stored and managed in connection with each application.
이를 통해 정책 서버(100)는 목적지 단말의 접속 정보 및 단말들의 접속권한 등을 검색하여 매칭된 단말에만 권한 승인 피드백을 전송함으로써, 권한이 없는 단말의 접근을 제어하고 네트워크에서 독립된 인트라넷을 구현할 수 있다. Through this, the policy server 100 searches for access information of the destination terminal and access rights of the terminals, and transmits permission approval feedback only to the matched terminals, thereby controlling access of unauthorized terminals and implementing an independent intranet in the network. .
이와 같이, 본 발명의 따르면 논리적 내부 네트워크를 구현하는 시스템은 기존 내부 네트워크를 구성하는 필수 항목(방화벽(VPN) 라우터, 코어 스위치, 분배 스위치)의 복잡한 구성을 모바일 어플리케이션을 통해 대체하여 내부망을 구축하는 비용을 최소화할 수 있다. As described above, according to the present invention, a system implementing a logical internal network constructs an internal network by replacing the complex configuration of essential items (firewall (VPN) router, core switch, distribution switch) constituting the existing internal network through a mobile application. You can minimize the cost of doing it.
그리고 모바일 단말에 연결된 PC와 같은 단말에서 발생되는 패킷에 포함된 소스 IP/MAC 주소와 목적지 IP에 대한 접근제어를 수행하며, 어플리케이션을 통해 네트워크를 구현하는 모바일 단말들을 그룹핑하여 내부 네트워크의 그룹간 통신 제어를 구현함으로써 기존의 복잡한 네트워크 정책을 편리하고 간편하게 구현할 수 있다. In addition, access control for the source IP/MAC address and destination IP included in the packet generated by a terminal such as a PC connected to the mobile terminal is performed, and communication between groups of the internal network is performed by grouping mobile terminals implementing the network through an application. By implementing control, it is possible to conveniently and conveniently implement the existing complex network policy.
또한, 별도의 네트워크 장비를 사용 할 필요 없기 때문에 5G의 최대 장점인 데이터 전송속도, 지연시간, 네트워크상의 단말기 수용능력 등을 활용하여 네트워크를 구축할 수 있으며, 예를 들어 최대 20Gbps 전송속도의 네트워크를 사용하면서 초저지연 기술을 통해 모바일과 단말간의 연결 지연으로 인한 연결 유실을 방지할 수 있다.In addition, since there is no need to use separate network equipment, a network can be constructed using the maximum advantages of 5G, such as data transmission speed, delay time, and terminal capacity. For example, a network with a maximum transmission speed of 20 Gbps can be established. While in use, it is possible to prevent loss of connection due to connection delay between mobile and terminal through ultra-low delay technology.
컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 매체는 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 여기서 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드가 포함된다. The computer-readable medium may include program instructions, data files, data structures, and the like alone or in combination. The medium may be specially designed and configured, or may be known and usable to those skilled in computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical recording media such as CD-ROMs and DVDs, magnetic-optical media such as floppy disks, and ROM, RAM, flash memory, and the like. Hardware devices specially configured to store and execute the same program instructions are included. Here, the medium may be a transmission medium such as an optical or metal wire or a waveguide that transmits a signal specifying a program command or a data structure. Examples of the program instructions include not only machine language codes such as those produced by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like.
이상에서 본 발명의 바람직한 하나의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although one preferred embodiment of the present invention has been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements by those skilled in the art using the basic concept of the present invention defined in the following claims are also provided. It belongs to the scope of the present invention.

Claims (15)

  1. 모바일 단말에 설치된 어플리케이션이 연결된 단말들에 논리적 내부 네트워크를 제공하는 방법에서, In a method of providing a logical internal network to terminals connected to an application installed in a mobile terminal,
    상기 어플리케이션은 입력받은 사용자의 인증을 수행하는 단계, The application is a step of performing authentication of the input user,
    연동된 정책 서버로부터 상기 사용자의 인증에 따른 네트워크 접속 권한 정보를 요청하고, 상기 사용자의 네트워크 권한 정보를 수신하는 단계, Requesting network access authority information according to authentication of the user from an interlocked policy server, and receiving network authority information of the user,
    상기 사용자의 접속 권한이 승인되면, 상기 사용자의 인증에 대응되는 하나 이상의 단말로부터 연결 요청을 받는 단계, Receiving a connection request from at least one terminal corresponding to the user's authentication when the user's access right is approved,
    상기 단말로 무결성 검사 결과를 요청하고 상기 단말의 무결성이 확인되면, 상기 단말로 IP를 발급하는 단계, Issuing an IP to the terminal when requesting an integrity check result from the terminal and the integrity of the terminal is confirmed,
    발급된 상기 IP로 접속한 단말에 대한 연결 요청 정보 또는 접속 정보를 수집하여 상기 정책 서버와 공유하는 단계 그리고Collecting connection request information or access information for a terminal connected to the issued IP and sharing it with the policy server; and
    상기 단말에서 발생하는 패킷들을 암호화하여 송신하고 수신한 암호화된 패킷을 복호화하여 상기 단말로 포워딩하는 단계Encrypting and transmitting packets generated in the terminal, decrypting the received encrypted packet, and forwarding it to the terminal
    를 포함하는 논리적 내부 네트워크 제공 방법. A method of providing a logical internal network comprising a.
  2. 제1항에서, In claim 1,
    상기 정책 서버는, The policy server,
    복수 개의 모바일 단말의 어플리케이션에 대한 인증 정보와 설정된 접속 권한 그리고 구축된 네트워크 정책을 관리하고, 각 모바일 단말로부터 수신한 접속 권한 요청 정보와 단말의 정보들을 데이터베이스에 기록하는 논리적 내부 네트워크 제공 방법.A method for providing a logical internal network that manages authentication information for applications of a plurality of mobile terminals, set access rights, and established network policies, and records access rights request information and terminal information received from each mobile terminal in a database.
  3. 제2항에서, In paragraph 2,
    상기 정책 서버는, The policy server,
    상기 사용자 인증에 따른 네트워크 접속 권한을 요청받으면, 네트워크 접속 허용 여부와 함께, 접속 가능한 상이한 모바일 단말 또는 해당 모바일 단말에 접속한 단말의 정보들을 포함하는 접속 가능한 단말 정보를 제공하는 논리적 내부 네트워크 제공 방법. A method for providing a logical internal network for providing accessable terminal information including information on a different mobile terminal accessible or a terminal connected to the mobile terminal, along with whether or not to allow network access, when a network access authority is requested according to the user authentication.
  4. 제3항에서,In paragraph 3,
    발급된 상기 IP로 접속한 단말로부터 목적지 단말로 전송할 패킷을 수신하는 단계, Receiving a packet to be transmitted to a destination terminal from a terminal connected to the issued IP,
    상기 목적지 단말이 상기 접속 가능한 단말 정보에 포함되는지 확인하는 단계, 그리고 Checking whether the destination terminal is included in the accessible terminal information, and
    상기 목적지 단말로의 접속 권한이 확인하면, 상기 목적지 단말이 접속한 모바일 단말의 어플리케이션으로 해당 전송 패킷을 포워딩하고 상기 전송 패킷에 대응하여 수신하는 응답 패킷을 상기 단말로 전달하는 단계,If the access right to the destination terminal is confirmed, forwarding a corresponding transmission packet to an application of the mobile terminal to which the destination terminal has accessed and transmitting a response packet received in response to the transmission packet to the terminal,
    를 더 포함하는 논리적 내부 네트워크 제공 방법. A method of providing a logical internal network further comprising a.
  5. 제4항에서,In claim 4,
    상기 접속 가능한 단말의 정보에 포함되는지 확인하는 단계는, The step of checking whether it is included in the information of the accessible terminal,
    상기 정책 서버로부터 수신한 접속 가능한 단말 정보에 상기 목적지 단말이 포함되지 않으면, 상기 정책 서버로 상기 목적지 단말의 접속 권한을 요청하여 접속 허용 여부를 확인하는 논리적 내부 네트워크 제공 방법.If the destination terminal is not included in the accessible terminal information received from the policy server, a method for providing a logical internal network to check whether access is permitted by requesting access rights of the destination terminal to the policy server.
  6. 제5항에서, In clause 5,
    상기 단말로 전달하는 단계는, The step of transferring to the terminal,
    상기 목적지 단말로의 접속 권한이 승인되지 않으면 상기 패킷을 드랍시키고 드랍 메시지를 단말에 전달하는 논리적 내부 네트워크 제공 방법.If the access right to the destination terminal is not approved, the packet is dropped and a drop message is delivered to the terminal.
  7. 제1항에서,In claim 1,
    상기 단말은 무결성 접속과 감시를 수행하는 네트워크 엑세스 제어(Network Access Control) 클라이언트를 포함하고, The terminal includes a network access control client that performs integrity access and monitoring,
    상기 단말로 IP를 발급하는 단계는, Issuing an IP to the terminal,
    상기 정책 서버로부터 공유된 네트워크 정책을 상기 단말로 전송하면서 상기 네트워크 정책을 기반으로 무결성 접속 여부, 필수 소프트웨어 설치 검사, 악성 소프트웨어 설치 검사 중에 하나 이상의 검사를 수행하도록 요청하는 논리적 내부 네트워크 제공 방법.A method for providing a logical internal network for requesting to perform one or more tests among integrity access, essential software installation inspection, and malicious software installation inspection based on the network policy while transmitting the network policy shared from the policy server to the terminal.
  8. 제7항에서,In clause 7,
    상기 단말로 IP를 발급하는 단계는, Issuing an IP to the terminal,
    상기 단말의 무결성이 확인되면 상기 단말의 접속을 위해 테더링을 수행하고, 단말마다 중복되지 않은 IP 주소를 발급하는 논리적 내부 네트워크 제공 방법.When the integrity of the terminal is verified, tethering is performed for access to the terminal, and an IP address that is not duplicated is issued for each terminal.
  9. 제8항에서, In clause 8,
    단말마다 발급된 IP에 기초하여 각 단말의 트래픽과 사용 이력에 대한 추적 데이터들을 수집하고, 수집된 추적 데이터들을 상기 정책 서버와 공유하는 단계, 그리고 Collecting tracking data on the traffic and usage history of each terminal based on the IP issued for each terminal, and sharing the collected tracking data with the policy server, and
    상기 단말의 트랙픽의 사용량을 제어하거나 특정 사이트 또는 상이한 단말간의 접속을 제어하는 단계를 더 포함하는 논리적 내부 네트워크 제공 방법.The method of providing a logical internal network further comprising the step of controlling the traffic usage of the terminal or controlling access between a specific site or different terminals.
  10. 컴퓨팅 장치에 의해 실행되고, 컴퓨터 판독 가능한 기록 매체에 저장되는 어플리케이션으로서, An application executed by a computing device and stored in a computer-readable recording medium,
    정책 서버와 네트워크로 연동되어 어플리케이션의 구동 권한과 사용자 정보를 동기화하는 단계, The step of synchronizing the driving authority and user information of the application by interlocking with the policy server and the network
    제공되는 인터페이스를 통해 사용자 인증 정보를 입력받으면, 상기 사용자 인증 정보에 따른 네트워크 접속 권한 정보를 상기 정책 서버로 요청하고, 상기 네트워크 접속 권한 정보를 수신하는 단계, Upon receiving user authentication information through the provided interface, requesting network access authority information according to the user authentication information to the policy server, and receiving the network access authority information,
    테더링을 제공하여 연결을 요청하는 하나 이상의 단말을 감지하면 해당 단말에 대한 무결성을 확인하고, 상기 확인된 무결성에 대응하여 중복되지 않은 IP를 해당 단말로 발급하는 단계, 그리고 When detecting one or more terminals requesting connection by providing tethering, verifying the integrity of the corresponding terminal, and issuing a non-overlapping IP to the corresponding terminal in response to the checked integrity, and
    상기 IP로 접속한 단말로부터 발생되는 패킷들을 수신하고, 상기 네트워크 접속 권한 정보에 기초하여 상기 패킷들의 포워딩 여부를 결정하는 단계, Receiving packets generated from a terminal accessing the IP, and determining whether to forward the packets based on the network access authority information,
    를 실행하는 명령들을 포함하는 어플리케이션.An application containing instructions to execute.
  11. 제10항에서, In claim 10,
    상기 네트워크 접속 권한 정보를 수신하는 단계는, Receiving the network access right information,
    어플리케이션에 대한 인증 정보와 설정된 접속 권한 그리고 구축된 네트워크 정책을 관리하는 상기 정책 서버로부터, 네트워크 접속 허용 여부, 접속 가능한 상이한 모바일 단말 또는 해당 모바일 단말에 접속한 단말의 정보들을 포함하는 접속 가능한 단말 정보를 수신하는 어플리케이션.From the policy server that manages authentication information, set access rights, and established network policies for the application, accessable terminal information including information on whether to allow network access, different accessible mobile terminals or terminals connected to the mobile terminal is provided. Application to receive.
  12. 제11항에서, In clause 11,
    상기 중복되지 않은 IP를 해당 단말로 발급하는 단계는, Issuing the non-overlapping IP to the corresponding terminal,
    상기 단말에 포함된 네트워크 엑세스 제어(Network Access Control) 클라이언트를 통해 무결성 접속과 감시 결과를 수신하여 무결성을 확인하는 어플리케이션.An application that checks integrity by receiving integrity access and monitoring results through a network access control client included in the terminal.
  13. 제12항에서, In claim 12,
    단말마다 발급된 IP에 기초하여 각 단말의 트래픽과 사용 이력에 대한 추적 데이터들을 수집하고, 상기 단말의 트래픽을 기준치 이하로 사용량을 제어하거나 특정 사이트 또는 상이한 단말간의 접속을 제어하는 단계Collecting tracking data on the traffic and usage history of each terminal based on the IP issued for each terminal, and controlling the usage of the traffic of the terminal below a reference value, or controlling access between a specific site or different terminals
    를 실행하는 명령들을 더 포함하는 어플리케이션.The application further includes instructions to execute.
  14. 제13항에서, In claim 13,
    상기 패킷들의 포워딩 여부를 결정하는 단계는,The step of determining whether to forward the packets,
    상기 단말로부터 목적지 단말로 전송할 패킷을 수신하면 상기 목적지 단말이 접속 가능한 단말 정보에 포함되는지 확인하는 단계, When receiving a packet to be transmitted from the terminal to the destination terminal, checking whether the destination terminal is included in the accessible terminal information,
    상기 목적지 단말로 접속이 가능하지만 상이한 모바일 단말에 연결되어 있으면, 상기 상이한 모바일 단말의 어플리케이션으로 해당 전송 패킷을 포워딩하는 단계, 그리고If the destination terminal can be accessed but is connected to a different mobile terminal, forwarding the transmission packet to the application of the different mobile terminal, and
    상기 상이한 모바일 단말의 어플리케이션으로부터 상기 전송 패킷에 대응하는 응답 패킷을 수신하면 상기 단말로 전달하는 단계When a response packet corresponding to the transport packet is received from an application of the different mobile terminal, transmitting it to the terminal
    를 실행하는 명령들을 포함하는 어플리케이션.An application containing instructions to execute.
  15. 제14항에서, In clause 14,
    상기 패킷들의 포워딩 여부를 결정하는 단계는,The step of determining whether to forward the packets,
    상기 전송 패킷을 캡슐화(capsulation)하여 포워딩하고, 상기 상이한 모바일 단말의 어플리케이션으로부터 캡슐화된 응답 패킷을 수신하는 어플리케이션.An application that encapsulates and forwards the transport packet, and receives an encapsulated response packet from an application of the different mobile terminal.
PCT/KR2020/010090 2019-07-30 2020-07-30 Method for providing logical internal network, and mobile terminal and application for implementing same WO2021020918A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20190092731 2019-07-30
KR10-2019-0092731 2019-07-30

Publications (1)

Publication Number Publication Date
WO2021020918A1 true WO2021020918A1 (en) 2021-02-04

Family

ID=74229251

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2020/010090 WO2021020918A1 (en) 2019-07-30 2020-07-30 Method for providing logical internal network, and mobile terminal and application for implementing same

Country Status (2)

Country Link
KR (1) KR102211238B1 (en)
WO (1) WO2021020918A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102309116B1 (en) * 2021-09-07 2021-10-08 프라이빗테크놀로지 주식회사 System and method for controlling network access of data flow based application
KR20230096615A (en) * 2021-12-23 2023-06-30 주식회사 이노그리드 Edge cloud operating system for large-scale multi-cluster provisioning

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130028323A (en) * 2011-09-09 2013-03-19 삼성에스디에스 주식회사 System and method for controlling access to network
KR20130044107A (en) * 2011-10-22 2013-05-02 주식회사 비티비솔루션 Security system and method of portable device control with rights management policy in based
KR20140146941A (en) * 2013-06-18 2014-12-29 숭실대학교산학협력단 User terminal authentication server and method for authenticationg user terminal
KR20170057803A (en) * 2015-11-17 2017-05-25 주식회사 넥슨코리아 System and method for secure authentication to user access
KR20180131765A (en) * 2017-06-01 2018-12-11 주식회사 우리들아이티 access management systems for management-mode and accessing methods

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130028323A (en) * 2011-09-09 2013-03-19 삼성에스디에스 주식회사 System and method for controlling access to network
KR20130044107A (en) * 2011-10-22 2013-05-02 주식회사 비티비솔루션 Security system and method of portable device control with rights management policy in based
KR20140146941A (en) * 2013-06-18 2014-12-29 숭실대학교산학협력단 User terminal authentication server and method for authenticationg user terminal
KR20170057803A (en) * 2015-11-17 2017-05-25 주식회사 넥슨코리아 System and method for secure authentication to user access
KR20180131765A (en) * 2017-06-01 2018-12-11 주식회사 우리들아이티 access management systems for management-mode and accessing methods

Also Published As

Publication number Publication date
KR102211238B1 (en) 2021-02-02

Similar Documents

Publication Publication Date Title
WO2021060854A1 (en) Network access control system and method therefor
WO2018026030A1 (en) Vehicle and method for controlling same
WO2013062352A1 (en) Method and system for access control in cloud computing service
WO2019127973A1 (en) Authority authentication method, system and device for mirror repository, and storage medium
WO2013183814A1 (en) Improved security function-based cloud service system and method for supporting same
WO2013025085A2 (en) Apparatus and method for supporting family cloud in cloud computing system
WO2013025060A2 (en) Device and method for puf-based inter-device security authentication in machine-to-machine communication
WO2013065915A1 (en) Method for interworking trust between a trusted region and an untrusted region, method, server, and terminal for controlling the downloading of trusted applications, and control system applying same
WO2022102930A1 (en) Did system using browser-based security pin authentication and control method thereof
WO2019225921A1 (en) Method for storing digital key and electronic device
WO2018151390A1 (en) Internet of things device
WO2014185594A1 (en) Single sign-on system and method in vdi environment
WO2020189926A1 (en) Method and server for managing user identity by using blockchain network, and method and terminal for user authentication using blockchain network-based user identity
WO2014058130A1 (en) Method of controlling access to network drive, and network drive system
WO2020050424A1 (en) BLOCK CHAIN-BASED SYSTEM AND METHOD FOR MULTIPLE SECURITY AUTHENTICATION BETWEEN MOBILE TERMINAL AND IoT DEVICE
WO2021020918A1 (en) Method for providing logical internal network, and mobile terminal and application for implementing same
WO2013191325A1 (en) Method for authenticating trusted platform-based open id, and apparatus and system therefor
WO2012099330A2 (en) System and method for issuing an authentication key for authenticating a user in a cpns environment
WO2014003505A1 (en) System and method for configuring device sociality
WO2020022700A1 (en) Secure element for processing and authenticating digital key and operation method therefor
WO2021112603A1 (en) Method and electronic device for managing digital keys
WO2012093900A2 (en) Method and device for authenticating personal network entity
WO2014003516A1 (en) Method and apparatus for providing data sharing
WO2023146308A1 (en) System for controlling network access on basis of controller, and method therefor
WO2019132270A1 (en) Secure communication method in nfv environment and system therefor

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20846560

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20846560

Country of ref document: EP

Kind code of ref document: A1