WO2022186431A1 - 네트워크 격리를 위한 통신 제어 방법 및 이를 이용한 장치 - Google Patents

네트워크 격리를 위한 통신 제어 방법 및 이를 이용한 장치 Download PDF

Info

Publication number
WO2022186431A1
WO2022186431A1 PCT/KR2021/009125 KR2021009125W WO2022186431A1 WO 2022186431 A1 WO2022186431 A1 WO 2022186431A1 KR 2021009125 W KR2021009125 W KR 2021009125W WO 2022186431 A1 WO2022186431 A1 WO 2022186431A1
Authority
WO
WIPO (PCT)
Prior art keywords
network
user terminal
namespace
gateway
controller
Prior art date
Application number
PCT/KR2021/009125
Other languages
English (en)
French (fr)
Inventor
권영민
Original Assignee
주식회사 아라드네트웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아라드네트웍스 filed Critical 주식회사 아라드네트웍스
Publication of WO2022186431A1 publication Critical patent/WO2022186431A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/3015Name registration, generation or assignment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Abstract

일 실시예에 따른 통신 제어 방법이 개시된다. 컨트롤러에 의해 수행되는 통신 제어 방법은 제1 사용자 단말 및 제2 사용자 단말 중 적어도 하나로부터 상기 제1 사용자 단말 및 상기 제2 사용자 단말을 연결하는 네트워크 생성 요청을 수신하는 단계, 상기 네트워크 생성 요청에 응답하여, 게이트웨이에 상기 제1 사용자 단말 및 상기 제2 사용자 단말에 대응되는 제1 네트워크 네임 스페이스 생성 요청을 전송하는 단계, 및 상기 제1 네트워크 네임 스페이스 생성 요청에 응답하여 상기 게이트웨이에 제1 네트워크 네임 스페이스가 생성된 경우, 상기 제1 네트워크 네임 스페이스에 할당될 제1 가상 인터페이스 정보를 상기 게이트웨이에 전송하는 단계를 포함할 수 있다.

Description

네트워크 격리를 위한 통신 제어 방법 및 이를 이용한 장치
본 발명은 네트워크 격리를 위한 통신 제어 방법 및 이를 이용한 장치에 관한 것이다.
터널링(Tuneling)은 노드 혹은 네트워크 간의 가상의 링크를 형성하는 방법으로, 하나의 프로토콜이 다른 프로토콜을 감싸는 캡슐화를 데이터 패킷에 적용함으로써 구현될 수 있다. 가상 터널 인터페이스를 통해 캡슐화, 디캡슐화가 이루어질 수 있고, 두 노드 사이에 형성된 네트워크 터널을 통해 캡슐화된 데이터 패킷이 송수신 될 수 있다. 데이터 패킷에 대한 캡슐화를 통해 통신의 보안성을 제공할 수 있다.
일반적인 리눅스 시스템에서 네트워크는 단일하게 존재하는 글로벌 자원일 수 있다. 네트워크 인터페이스, 라우팅 테이블 등 네트워크 관련 요소는 모든 계정이 공유하여 사용하게 된다. 이에 따라 어느 한 계정을 통해 네트워크 정보가 변경된 경우(예를 들어, 라우팅 테이블이 변경된 경우), 시스템 전체에 영향을 미치게 된다. 네트워크 네임 스페이스가 생성되는 경우, 네트워크 설정은 네트워크 네임 스페이스 별로 독립적으로 관리될 수 있다. 예를 들어, 어느 하나의 네트워크 네임 스페이스에서의 설정 변경은 이와 구별된 다른 네트워크 네임 스페이스에는 영향을 미치지 않는다. 이에 따라 네트워크 네임 스페이스 별로 네트워크 설정을 독립적으로 관리될 수 있다.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 효과를 실현하기 위한 본 발명의 특징적인 구성은 하기와 같다.
일 실시예에 따른 컨트롤러에 의해 수행되는, 통신 제어 방법은 제1 사용자 단말 및 제2 사용자 단말 중 적어도 하나로부터 상기 제1 사용자 단말 및 상기 제2 사용자 단말을 연결하는 제1 네트워크 생성 요청을 수신하는 단계; 상기 제1 네트워크 생성 요청에 응답하여, 게이트웨이에 상기 제1 사용자 단말 및 상기 제2 사용자 단말에 대응되는 제1 네트워크 네임 스페이스 생성 요청을 전송하는 단계; 및 상기 제1네트워크 네임 스페이스 생성 요청에 응답하여 상기 게이트웨이에 제1네트워크 네임 스페이스가 생성된 경우, 상기 제1 네트워크 네임 스페이스에 할당될 제1 가상 인터페이스 정보를 상기 게이트웨이에 전송하는 단계를 포함할 수 있다.
상기 제1 가상 인터페이스는 상기 제1 사용자 단말에 생성된 제1-1 터널 인터페이스 및 상기 제2 사용자 단말에 생성된 제1-2 터널 인터페이스 중 적어도 하나에 대응되는 제1-3 터널 인터페이스일 수 있다.
일 실시예에 따른 통신 제어 방법은 제3 사용자 단말 및 제4 사용자 단말 중 적어도 하나로부터 상기 제3 사용자 단말 및 상기 제4 사용자 단말을 연결하는 네트워크에 대한 제2 네트워크 생성 요청을 수신하는 경우, 상기 게이트웨이에 상기 제3사용자 단말 및 상기 제4 사용자 단말 중 적어도 하나에 대응되는 제2 네트워크 네임 스페이스 생성 요청을 전송하는 단계; 상기 게이트웨이에 제2 네트워크네임 스페이스가 생성된 경우, 상기 제2 네트워크 네임 스페이스에 할당될 제2 가상 인터페이스 정보를 상기 게이트웨이에 전송하는 단계를 더 포함하고,상기 제1 네트워크 네임 스페이스는 상기 제2 네트워크 네임 스페이스는 상호 구별되는 네임 스페이스일 수 있다.
상기 제2 가상 인터페이스는, 상기 제3 사용자 단말에 생성된 제2-1 터널 인터페이스 및 상기 제4 사용자 단말에 생성된 제2-2 터널 인터페이스 중 적어도 하나에 대응되는 제2-3 터널 인터페이스일 수 있다.
일 실시예에 따른 통신 제어 방법은 상기 게이트웨이에 상기 제1 네트워크네임 스페이스에 대응되는 제1 라우팅 테이블을 제공하는 단계를 더 포함하고, 상기 제1 라우팅 테이블은, 상기 제1네트워크 네임 스페이스 내부에 추가될 수 있다.
일 실시예에 따른 게이트웨이에 의해 수행되는 통신 제어 방법은 컨트롤러로부터 제1 사용자 단말 및 제2 사용자 단말을 연결하는 제1 네트워크에 대응되는 제1 네트워크 네임 스페이스 생성 요청을 수신하는 단계; 상기 제1네트워크 네임 스페이스 생성 요청에 응답하여, 제1 네트워크 네임 스페이스를 생성하는 단계; 상기 컨트롤러로부터 상기 제1 네트워크 네임 스페이스에 대응되는 제1 가상 인터페이스에 대한 정보를 수신하는 단계; 상기 제1 가상 인터페이스를 생성하는 단계; 및 상기 제1 가상 인터페이스를 상기 제1 네트워크 네임 스페이스에 할당하는 단계를 포함할 수 있다.
일 실시예에 따른 통신 제어 방법을 수행하는 컨트롤러는 통신부; 및 프로세서를 포함하고, 상기 프로세서는 제1 사용자 단말 및 제2 사용자 단말 중 적어도 하나로부터 상기 제1 사용자 단말 및 상기 제2 사용자 단말을 연결하는 네트워크 생성 요청을 수신하고, 상기 수신한 요청에 응답하여, 게이트웨이에 상기 제1 사용자 단말 및 상기 제2 사용자 단말에 대응되는 제1 네트워크 네임 스페이스 생성 요청을 전송하고, 상기 제1 네트워크 네임 스페이스 생성 요청에 응답하여, 상기 게이트웨이에 제1 네트워크 네임 스페이스가 생성된 경우, 상기 제1 네트워크 네임 스페이스에 할당될 제1 가상 인터페이스 정보를 상기 게이트웨이에 전송할 수 있다.
일 실시예에 따른 통신 제어 방법을 수행하는 게이트웨이는, 통신부; 및 프로세서를 포함하고, 상기 프로세서는 컨트롤러로부터 제1 사용자 단말 및 제2 사용자 단말을 연결하는 제1 네트워크에 대응되는 제1 네트워크 네임 스페이스 생성 요청을 수신하고, 상기 제1 네트워크 네임 스페이스 생성 요청에 응답하여, 제1 네트워크 네임 스페이스를 생성하고, 상기 컨트롤러로부터 상기 제1 네트워크 네임 스페이스에 대응되는 제1 가상 인터페이스에 대한 정보를 수신하고, 상기 제1 가상 인터페이스를 생성하고, 상기 제1 가상 인터페이스를 상기 제1 네트워크 네임 스페이스에 할당할 수 있다.
본 발명의 실시 예의 설명에 이용되기 위하여 첨부된 아래 도면들은 본 발명의 실시 예들 중 단지 일부일 뿐이며, 본 발명이 속한 기술분야의 통상의 기술자에게 있어서는 별개의 발명에 이르는 노력 없이 이 도면들에 기초하여 다른 도면들이 얻어질 수 있다.
도 1은 일 실시예에 따른 통신 시스템을 도시하는 도면이다.
도 2는 일 실시예에 따른 게이트웨이의 구성을 설명하기 위한 도면이다.
도 3은 일 실시예에 따른 통신 시스템의 컨트롤러에 의해 수행되는 통신 제어 방법을 설명하기 위한 흐름도이다.
도 4는 일 실시예에 따른 통신 시스템의 게이트웨이에 의해 수행되는 통신 제어 방법을 설명하기 위한 흐름도이다.
도 5a는 일 실시예에 따른 통신 제어 방법이 구현된 일례를 도시하는 도면이다.
도 5b는 일 실시예에 통신 제어 방법에 기초하게 제공되는 효과를 설명하기 위한 도면이다.
도 5c는 일 실시예에 통신 제어 방법에 기초하게 제공되는 효과를 설명하기 위한 도면이다.
도 6은 일 실시예에 따른 컨트롤러의 구성을 도시하는 블록도이다.
도 7은 일 실시예에 따른 게이트웨이의 구성을 도시하는 블록도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명의 목적들, 기술적 해법들 및 장점들을 분명하게 하기 위하여 본 발명이 실시될 수 있는 특정 실시 예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시 예는 통상의 기술자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다.
그리고 본 개시서의 상세한 설명 및 청구항들에 걸쳐, '포함하다'라는 단어 및 그 변형은 다른 기술적 특징들, 부가물들, 구성요소들 또는 단계들을 제외하는 것으로 의도된 것이 아니다. 또한,'하나' 또는 '한'은 하나 이상의 의미로쓰인 것이며,'또 다른'은 적어도 두 번째 이상으로 한정된다.
통상의 기술자에게 본 발명의 다른 목적들, 장점들 및 특성들이 일부는 본 설명서로부터, 그리고 일부는 본 발명의 실시로부터 드러날 것이다. 아래의 예시 및 도면은 실례로서 제공되며, 본 발명을 한정하는 것으로 의도된 것이 아니다. 따라서,특정 구조나 기능에 관하여 본 개시서에 개시된 상세 사항들은 한정하는 의미로 해석되어서는 아니되고,단지 통상의 기술자가 실질적으로 적합한 임의의 상세 구조들로써본 발명을 다양하게 실시하도록 지침을 제공하는 대표적인 기초 자료로 해석되어야 할 것이다.
더욱이 본 발명은 본 개시서에 나타난 실시 예들의 모든 가능한 조합들을 망라한다. 본 발명의 다양한 실시 예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시 예에 관련하여 본 발명의 사상 및 범위를 벗어나지 않으면서 다른 실시 예로 구현될 수 있다. 또한, 각각의 개시된 실시 예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 사상 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
본 개시서에서 달리 표시되거나 분명히 문맥에 모순되지 않는 한, 단수로 지칭된 항목은, 그 문맥에서 달리 요구되지 않는 한, 복수의 것을 아우른다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
이하, 통상의 기술자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시 예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 1은 일 실시예에 따른 통신 시스템을 도시하는 도면이다.
도 1을 참고하면, 일 실시예에 따른 통신 시스템(100)은 통신 주체가 되는 개별 엔티티(Entity)인 에지 노드에 대응되는 사용자 단말(110-1, 쪋, 110-4), 사용자 단말(110-1, 쪋, 110-4) 사이의 데이터 패킷 송수신을 중계하는 게이트웨이(120) 및, 사용자 단말(110-1, 쪋, 110-4) 및 게이트웨이(120)를 제어하는 컨트롤러(130)를 포함할 수 있다.
통신 시스템(100)은 각각의 사용자 단말(110-1, 쪋, 110-4)에 격리된 네트워크에 기반한 통신을 수행할 수 있는 수단을 제공할 수 있다. 보다 구체적으로, 사용자 단말 #1-1(110-1) 및 사용자 단말 #2-1(110-3) 사이의 데이터 패킷을 송수신하는 네트워크 A와 사용자 단말 #1-N(110-2) 및 사용자 단말 #2-N(110-4) 사이의 데이터 패킷을 송수신하는 네트워크 B를 격리시켜, 상호 네트워크 상의 간섭이 이루어지지 않도록 할 수 있다. 이를 통해 네트워크 A가 외부에 노출되더라도 네트워크 B는 보안성을 유지할 수 있다. 또한, 네트워크 A와 네트워크 B는 상호 격리되어 있는 바, 사용자 단말 #1-1(110-1)과 사용자 단말 #1-N(110-2)에 동일한 IP가 부여될 수 있다. 이를 통해, 통신 시스템(100)은 네트워크 자원을 보다 효율적으로 활용할 수 있는 수단을 제공할 수 있으며, 보안성이 향상된 통신 수단을 제공할 수 있다. 앞서 설명을 위해 사용자 단말(110-1, 쪋, 110-4)이 1:1로 연결되어 통신을 수행하는 상황을 예시로 들었으나, 사용자 단말(110-1, ... , 110-4)은 1:N, N:1 등 임의로 연결되어 통신을 수행할 수 있으며, 통신을 수행하기 위한 네트워크는 사용례에 따라 다양하게 격리된 형태로 구성될 수 있음은 통상의 기술자가 이해할 것이다.
일 실시예에 따르면, 사용자 단말(110-1, ... , 110-4)은 휴대폰, IoT 단말, PC, 노트북,서버 장치 등 네트워크 통신을 수행할 수 있는 임의의 단말을 포함할 수 있으며, 사용자 단말(110-1, ... , 110-4) 사이의 데이터 패킷의 송수신은 게이트웨이(120)를 경유하여 이루어질 수 있다. 사용자 단말(110-1, ... , 110-4)의 종류로 제시된 요소들은 예시적인 것이 불과할 뿐, 실시예가 이에 한정되는 것은 아니다.
컨트롤러(130)는 사용자 단말(110-1, ... , 110-4)사이의 연결 정보, 라우팅 정보, 네트워크 인터페이스 정보 등을 포함하는 설정 정보에 기초하여 사용자 단말(110-1, ... , 110-4)사이의 통신을 제어할 수 있다. 컨트롤러(130)는 사용자 단말(110-1, ... , 110-4) 사이 네트워크를 생성하기 이전에 개별 사용자 단말(110-1, ... , 110-4)에 대한 인증 프로세스(예를 들어, ID/PW 방식)를 수행하고, 인증이 완료된 사용자 단말(110-1, ... , 110-4)사이에서만 네트워크가 형성되도록 함으로써,네트워크 보안성을 제공할 수 있다.
일 실시예에 따르면, 통신 시스템(100)은 사용자 단말(110-1, 110-2, 110-3, 110-4)과 게이트웨이(120) 사이에 형성된 네트워크 터널(130-1, 130-2, 130-3, 130-4)을 통해 데이터 패킷을 송수신되도록 함으로써,네트워크의 보안성을 향상시킬 수 있다. 네트워크 터널(130-1, 130-2, 130-3, 130-4)을 통해 송수신되는 패킷은 캡슐화된 패킷으로, 외부에서 네트워크 터널(130-1, 130-2, 130-3, 130-4)에 대응하는 통신 경로에 접근하는 경우, 캡슐화된 패킷만을 확인할 수 있으므로, 외부 해킹에 안전성을 제공할 수 있다. 예를 들어, 사용자 단말 #1-1(110-1)로부터 사용자 단말#2-1(110-3)로 전송되는 데이터 패킷은 네트워크 터널(130-1)을 경유하여 게이트웨이(120)로 전송되고, 게이트웨이(120)에서 네트워크 터널(130-3)을 경유하여 사용자 단말 #2-1(110-3)로 전송될 수 있다. 이 경우, 외부에서 네트워크 터널(130-1, 130-3)에 대응하는 통신 경로에 접근하더라도 캡슐화된 데이터 패킷만을 확인할 수 있는 바 보안성이 향상될 수 있다.
도 2는 일 실시예에 따른 게이트웨이의 구성을 설명하기 위한 도면이다. 도 2를 참고하면, 게이트웨이(120)는 외부 엔티티와 연결되는 물리적 인터페이스(121-1, 121-2, 121-3, 121-4)를 포함할 수 있다. 게이트웨이(120)는 물리적 인터페이스(121-1, 121-2, 121-3, 121-4)를 통해 외부로부터 데이터 패킷을 수신하거나,외부로 데이터 패킷을 송신할 수 있다.
게이트웨이(120)로 전송되는 데이터 패킷은 앞서 설명된 바와 같이, 네트워크 터널을 통해 전송되고, 게이트웨이(120)에서 디캡슐화가 진행되며, 외부의 목적지로 전송되는 경우,다시 캡슐화가 진행되어 네트워크 터널을 통해 목적지로 전달될 수 있다.
게이트웨이(120)는 리눅스 시스템으로 구현될 수 있다. 게이트웨이(120)는 시스템 내에서 송수신되는 모든 데이터 패킷이 모니터링될 수 있다(일반적인 Root 권한 상태에서). 따라서, 앞서 설명된 통신 시스템(100)의 게이트웨이(120)에 접근하는 경우, 사용자 단말(110-1, ... , 110-4) 사이에서 송수신되는 데이터 패킷(122-1, 122-2, 122-3, 122-4)이 확인될 수 있고, 해킹에 취약한 문제가 발생할 수 있다. 이에 따라 사용자 단말(110-1, ... , 110-4) 사이에서 송수신되는 데이터 패킷(122-1, 122-2, 122-3, 122-4)에 대하여 외부에서 접근이 불가능하도록 게이트웨이(120) 내부의 네트워크를 격리시킴으로써 보안성을 향상시키는 수단이 요구될 수 있다.
일 실시예에 따른 통신 제어 방법에서는, 사용자 단말(122-1, 122-2, 122-3, 122-4)사이에 형성되는 네트워크 별로 서로 다른 네트워크 네임 스페이스를 부여하고, 각각의 네트워크 네임 스페이스에 대하여 대응되는 터널 인터페이스(가상 인터페이스)를 할당함으로써, 사용자 단말(122-1, 122-2, 122-3, 122-4) 사이에서 격리된 엔드 투 엔드 통신을 수행할 수 있는 수단을 제공함과 동시에 향상된 보안성을 제공할 수 있다. 본원 발명에서는 본원 발명에서 사용되는 가상 인터페이스는 물리적 인터페이스와 달리 소프트웨어적으로 정의되는 인터페이스를 의미할 수 있다.
도 3은 일 실시예에 따른 통신 시스템의 컨트롤러에 의해 수행되는 통신 제어 방법을 설명하기 위한 흐름도이다.
도 3을 참조하면, 단계(310)에서 컨트롤러는 제1사용자 단말 및 제2 사용자 단말 중 적어도 하나로부터 제1 사용자 단말 및 제2 사용자 단말을 연결하는 제1 네트워크 생성 요청을 수신할 수 있다. 제1 네트워크는 제1 사용자 단말 및 제2 사용자 단말의 엔드 투 엔드 통신을 위한 네트워크일 수 있다. 제1 네트워크는 타 사용자 단말들 사이에서 형성되는 네트워크와 격리된 네트워크이므로, 타 네트워크와 간섭이 발생되지 않을 수 있다. 이에 따라, 제1 네트워크에서 제1 사용자 단말에 부여된 IP 주소는 타 네트워크에서 타 사용자 단말에 다시 사용될 수 있다. 본 명세서에서 설명되는 가상 인터페이스 및 네임스페이스에 기초한 네트워크 격리는 소프트웨어를 통해 이루어지는 논리적 네트워크 격리를 의미할 수 있다.
단계(320)에서 컨트롤러는 제1 네트워크 생성 요청에 응답하여, 게이트웨이에 제1 사용자 단말 및 제2 사용자 단말에 대응되는 제1 네트워크 네임 스페이스 생성 요청을 전송할 수 있다.
단계(330)에서 컨트롤러는 제1 네트워크 네임 스페이스 생성 요청에 응답하여 게이트웨이에 제1 네트워크 네임 스페이스가 생성된 경우, 제1 네트워크 네임 스페이스에 할당될 제1 가상 인터페이스 정보를 상기 게이트웨이에 전송할 수 있다.
제1 가상 인터페이스는 제1 사용자 단말에 생성된 제1-1 터널 인터페이스 및 제2 사용자 단말에 생성된 제1-2 터널 인터페이스 중 적어도 하나에 대응되는 제1-3 터널 인터페이스일 수 있다. 보다 구체적으로, 터널 인터페이스는 데이터 패킷에 대한 캡슐화를 수행하거나, 캡슐화된 데이터 패킷에 대한 디캡슐화를 통해 터널링 기법을 적용하는 임의의 인터페이스일 수 있다. 예를 들어, 터널 인터페이스는 IPIP Tunnel, SIT tunnel, GRE, FOU, GUE GENEVE 등의 터널링 기법을 적용할 수 있으나, 터널링 기법은 제시된 예시에 한정되지 않음은 통상의 기술자가 이해할 것이다. 제1-3 터널 인터페이스는 제1 네트워크의 양단에 위치한 제1 사용자 단말 및 제2 사용자 단말에 생성된 제1-1 터널 인터페이스 및 제1-2 터널 인터페이스에 대응되는 터널 인터페이스일 수 있다. 이를 통해, 제1 사용자 단말 및 제2 사용자 단말 사이의 데이터 패킷 송수신은 제1 사용자 단말 및 제2 사용자 단말 사이에 형성된 네트워크 터널을 통해 진행될 수 있다.
일 실시예에 따르면, 컨트롤러는 제1 네트워크와 구별되는 제2 네트워크 생성 요청을 수신하는 경우, 제1 네트워크 네임 스페이스와 구별되는 제2 네트워크 네임 스페이스에 기초하여 제1 네트워크와 구별된 제2 네트워크를 생성할 수 있다. 보다 구체적으로, 컨트롤러는 제3 사용자 단말 및 제4 사용자 단말 중 적어도 하나로부터 제3 사용자 단말 및 제4 사용자 단말을 연결하는 제2 네트워크에 대한 제2 네트워크 생성 요청을 수신하는 경우, 게이트웨이에 제2 네트워크에 대응되는 제2 네트워크 네임 스페이스 생성 요청을 전송할 수 있다. 제1 네트워크 네임 스페이스는 제2 네트워크 네임 스페이스와 구별되는 네트워크 네임 스페이스일 수 있다. 컨트롤러는 게이트웨이에 제2 네트워크 네임 스페이스가 생성된 경우, 제2 네트워크 네임 스페이스에 할당될 제2 가상 인터페이스 정보를 게이트웨이에 전송할 수 있다. 제2 가상 인터페이스는 제3 사용자 단말에 생성된 제2-1 터널 인터페이스 및 제4 사용자 단말에 생성된 제2-2 터널 인터페이스 중 적어도 하나에 대응되는 제2-3 터널 인터페이스일 수 있다. 제2-1 터널 인터페이스 내지 제2-3 터널 인터페이스를 통해 제3 사용자 단말과 제4 사용자 단말은 네트워크 터널에 기반한 제2 네트워크를 통해 통신을 수행할 수 있으며, 제2 네트워크는 제1 네트워크와 격리되어(소프트웨어를 통한 논리적 격리) 상호 영향을 미치지 않을 수 있다. 앞선 설명에서 실시예에 따라 제3 사용자 단말은 제1 사용자 단말과 구별되는 사용자 단말이거나, 동일한 사용자 단말일 수 있음은 통상의 기술자가 이해할 것이다.
컨트롤러는 게이트웨이에 제1 네트워크네임 스페이스에 대응되는 제1 라우팅 테이블을 제공할 수 있다. 게이트웨이는 제1 라우팅 테이블을 제1 네트워크 네임 스페이스 내부에 추가할 수 있다. 마찬가지로, 컨트롤러는 게이트웨이에 제2 네트워크 네임 스페이스에 대응되는 제2 라우팅 테이블을 제공할 수 있고, 제2 라우팅 테이블은 제2 네트워크 네임 스페이스 내부에 추가될 수 있다. 통신 시스템은 제1 네트워크 및 제2 네트워크 각각에 대하여 구별된 제1 라우팅 테이블 및 제2 라우팅 테이블에 기초하여 독립적인 통신을 제공할 수 있다.
또한, 컨트롤러는 네트워크가 새롭게 생성되는 경우, 앞서 설명된 방식을 통해 네트워크 네임 스페이스를 생성함으로써, 개수의 제한 없이 격리된 네트워크를 생성할 수 있다. 이를 통해, 연결되는 사용자 단말에 제한 없이 격리된 네트워크를 제공할 수 있다. 또한, 사용자 단말 사이의 네트워크 연결이 종료된 경우, 네트워크 네임 스페이스를 제거함으로써 게이트웨이의 부하를 저감할 수 있다.
도 4는 일 실시예에 따른 통신 시스템의 게이트웨이에 의해 수행되는 통신 제어 방법을 설명하기 위한 흐름도이다.
도 4를 참고하면, 단계(410)에서 게이트웨이는 컨트롤러로부터 제1 사용자 단말 및 제2 사용자 단말을 연결하는 제1 네트워크에 대응하는 제1 네트워크 네임 스페이스 생성 요청을 수신할 수 있다.
단계(420)에서 게이트웨이는 제1 네트워크 네임 스페이스 생성 요청에 응답하여, 제1 네트워크 네임 스페이스를 생성하고, 단계(430)를 통해 컨트롤러로부터 제1 네트워크 네임 스페이스에 대응되는 제1 가상 인터페이스에 대한 정보를 수신할 수 있다.
단계(440)에서 게이트웨이는 제1 가상 인터페이스를 생성하고, 단계(450)를 통해 제1가상 인터페이스를 제1 네트워크 네임 스페이스에 할당할 수 있다. 제1 가상 인터페이스는 제1사용자 단말에 생성된 제1-1 터널 인터페이스 및 제2 사용자 단말에 생성된 제1-2 터널 인터페이스 중 적어도 하나에 대응되는 제1-3 터널 인터페이스일 수 있다. 앞서 도 3을 통해 설명된 바와 같이 게이트웨이는 제1-1 터널 인터페이스 내지 제1-3 터널 인터페이스를 이용하여 네트워크 터널에 기반한 격리된 네트워크를 제공할 수 있다.
게이트웨이는 컨트롤러로부터 제3 사용자 단말 및 제4 사용자 단말을 연결하는 제2 네트워크에 대응되는 제2 네트워크 네임 스페이스 생성 요청을 수신하는 경우, 제2 네트워크 네임 스페이스 생성 요청에 응답하여 제2 네트워크 네임 스페이스를 생성하고, 컨트롤러로부터 제2 네트워크 네임 스페이스에 대응되는 제2 가상 인터페이스에 대한 정보를 더 수신할 수 있다. 게이트웨이는 제2 가상 인터페이스를 생성하고, 제2 가상 인터페이스를 제2 네트워크 네임 스페이스에 할당할 수 있다. 제1 네트워크 네임 스페이스와 제2 네트워크 네임 스페이스는 상호 구별되는 네트워크 네임 스페이스일 수 있다.
게이트웨이는 컨트롤러로부터 제1네트워크 네임 스페이스에 대응되는 제1 라우팅 테이블을 수신하고, 제1 라우팅 테이블을 제1 네트워크 네임 스페이스에 할당할 수 있으며, 제2 네트워크 네임 스페이스에 대응되는 제2 라우팅 테이블을 컨트롤러로부터 수신하여 제2 네트워크 네임 스페이스에 할당할 수 있다. 이를 통해 제1 네트워크와 격리된 제2 네트워크가 생성될 수 있고, 각각의 네트워크를 통해 사용자 단말은 통신을 수행할 수 있다.
도 5a는 일 실시예에 따른 통신 제어 방법이 구현된 일례를 도시하는 도면이다.
도 5a를 참조하면, 게이트웨이(120)는 격리된 네트워크 각각에 대해 서로 다른 네트워크 네임 스페이스를 생성하고, 각각에 대응되는 터널 인터페이스를 할당할 수 있다. 보다 구체적으로, 도 5a는 사용자 단말 1(110-1) 및 사용자 단말 3(110-3)을 양단으로 하는 제1 네트워크가 미리 생성된 상황에서 사용자 단말 2(110-2) 및 사용자 단말 4(110-4)를 양단으로 하는 제2 네트워크가 생성되는 방식이 도시되어 있다. 컨트롤러(130)는 네트워크와 관련된 설정 정보(예를 들어,네트워크 네임 스페이스 ID 정보, 사용자 단말 간의 연결 정보,라우팅 정보 등)을 포함할 수 있다. 사용자 단말 2(110-2) 또는 사용자 단말 4(110-4) 중 적어도 하나로부터 제1 네트워크와 격리된 제2 네트워크에 대한 생성 요청을 수신하는 경우(단계 510), 컨트롤러(130)는 게이트웨이(120)에 제2 네트워크에 대응되는 네트워크 네임 스페이스 생성 요청을 전송할 수 있다(단계 520). 게이트웨이(120)는 컨트롤러(130)의 요청에 따라 제2 네트워크 네임 스페이스(532)를 생성할 수 있다(단계 530). 제2 네트워크 네임 스페이스(532)는 제1 네트워크(사용자 단말 1(110-1) 및 사용자 단말 3(110-3)에 대해 생성된 네트워크)에 대응되는 제1 네트워크 네임 스페이스(531)과 구별되는 네트워크 네임 스페이스일 수 있다.
컨트롤러(130)는 게이트웨이(120)에 i) 터널 인터페이스 생성을 위한 정보, ii)생성될 터널 인터페이스가 할당될 네트워크 네임 스페이스에 대한 정보 및 iii) 네트워크 네임 스페이스에 대응되는 라우팅 정보를 전달할 수 있다(단계 540).
게이트웨이(120)는 컨트롤러부터 수신한 정보에 기초하여, 터널 인터페이스(551, 552)를 생성하고, 이를 제2네트워크 네임 스페이스(532)에 할당할 수 있다(단계 550).
또한, 게이트웨이(120)는 컨트롤러(130)로부터 수신한 라우팅 정보(562)를 제2 네트워크 네임스페이스에 할당할 수 있다(단계 560). 제1 라우팅 테이블(561)과 구별된 제2 라우팅 테이블(562)를 통해 제2 네트워크는 제1 네트워크와 독립적으로 운영될 수 있다.
도 5b는 일 실시예에 통신 제어 방법에 기초하게 제공되는 효과를 설명하기 위한 도면이다.
네트워크 네임 스페이스에 의해 격리가 되지 않은 게이트웨이(571)의 경우, 시스템 내에서 송수신되는 데이터 패킷이 모두 확인될 수 있는 바, 보안성이 낮을 수 있다.
이와 달리, 네트워크 별로 상이한 네트워크 네임 스페이스가 부여된 본원 발명의 게이트웨이(572)에서는 Root 권한을 통해 접근이 가능한 영역(573)에서는 캡슐화된 데이터 패킷을 확인할 수 있을 뿐, 원본 데이터 패킷을 외부에서 확인할 수 없다. 따라서,원본 데이터 패킷(터널 인터페이스를 통해 디캡슐화 된 데이터 패킷)을 확인하기 위해선 각각의 네트워크 네임 스페이스(574, 575)에 접속하는 추가적인 권한이 요구되므로, 본원 발명에 따른 통신 제어 방법은 보다 강화된 보안성을 제공할 수 있다. 즉, 게이트웨이가 외부에 해킹되더라도, 디캡슐화된 데이터 패킷을 확인하기 위해서는 각각의 네트워크 네임 스페이스(574, 575)에 접근할 수 있는 추가적인 권한이 요구되므로, 본원 발명에 따른 통신 제어 방법은 보다 높은 보안성을 제공할 수 있다.
도 5c는 일 실시예에 통신 제어 방법에 기초하게 제공되는 효과를 설명하기 위한 도면이다.
도 5c를 참조하면, 네트워크 인터페이스는 원칙적으로 하나의 네트워크 네임 스페이스에 할당될 수 있다. 따라서, 가상 네트워크에 해당하는 터널 인터페이스를 이용하지 않는 게이트웨이(581)에서는 물리적 인터페이스 각각이 하나의 네임 스페이스에 할당될 수 있으므로, 2개의 격리된 네트워크만 생성될 수 있다. 즉, 기존 게이트웨이(581)에서는 물리적 인터페이스 개수에 따라 격리된 네트워크 생성 개수가 제한될 수 있다.
일 실시예에 따른 통신 제어 방법이 적용된 게이트웨이(582)에서는 각각의 네트워크 네임 스페이스에 가상 인터페이스에 해당하는 터널 인터페이스를 할당됨으로써, 격리된 네트워크가 개수의 제한 없이 생성될 수 있다.
도 6은 일 실시예에 따른 컨트롤러의 구성을 도시하는 블록도이다.
일 실시예에 따른 컨트롤러(600)는 외부 엔티티와 통신을 수행하는 통신부(610), 프로세서(620) 및 메모리(630)를 포함할 수 있다.
통신부(610)는 프로세서(620)의 제어에 의해 동작할 수 있다. 통신부(610)는 프로세서(620)의 명령에 따라 유선 통신 방식 또는 무선 통신 방식으로 신호를 전송할 수 있다. 통신부(610)는 무선 통신 또는 유선 통신 방식으로 외부 장치,예를 들어,서버, 게이트웨이와 통신할 수 있다.통신부(610)는 연동되는 타 컴퓨팅 장치와 요청과 응답을 송수신할 수 있는바, 일 예시로서 그러한 요청과 응답은 동일한 TCP(transmission control protocol) 세션(session)에 의하여 이루어질 수 있지만, 이에 한정되지는 않는바, 예컨대 UDP(user datagram protocol) 데이터그램(datagram)으로서 송수신될 수도 있을 것이다.
프로세서(620)는 메모리(630)에 저장된 프로그램 명령(program command)을 실행할 수 있다. 프로세서(620)는 중앙 처리 장치(central processing unit; CPU)와 같이 본 발명에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다. 메모리(630)는 휘발성 저장 매체 및/또는 비휘발성 저장 매체로 구성될 수 있다. 예를 들어, 메모리(630)는 읽기 전용 메모리(read only memory; ROM) 및/또는 랜덤 액세스 메모리(random access memory; RAM)로 구성될 수 있다.또한, 프로세서(620)는 MPU(micro processing unit),CPU(central processing unit)또는 TPU(tensor processing unit), 캐시 메모리(cache memory), 데이터 버스(data bus) 등의 하드웨어 구성을 포함할 수 있다. 또한, 운영체제, 특정 목적을 수행하는 애플리케이션의 소프트웨어 구성을 더 포함할 수도 있다.
프로세서(620)는 제1사용자 단말 및 제2사용자 단말 중 적어도 하나로부터 제1사용자 단말 및 제2사용자 단말을 연결하는 제1네트워크에 대응되는 제1네트워크 생성 요청을 수신하고,수신한 요청에 응답하여,게이트웨이에 제1사용자 단말 및 제2사용자 단말에 대응되는 제1네트워크 네임 스페이스 생성 요청을 전송하고, 제1네트워크 네임 스페이스 생성 요청에 응답하여,게이트웨이에 제1네트워크네임 스페이스가생성된 경우,제1네트워크 네임 스페이스에 할당될 제1가상 인터페이스 정보를 게이트웨이에 전송할 수 있다. 프로세서(620)는 앞선 도면을 통해 설명된 컨트롤러(600)의 동작을 수행할 수 있음은 통상의 기술자가 이해할 것이다.
도 6를 참조하여 설명한 컨트롤러(600)의 구성은 예시적인 것에 불과할 뿐, 실시예가 이에 제한되는 것은 아니다. 예를 들어, 컨트롤러(600)는 도 6에 도시된 구성 외에도 다른 구성을 더 포함할 수 있다. 예를 들어, 컨트롤러(600)는 입력 인터페이스부, 출력 인터페이스부 등을 더 포함할 수 있다.
도 7은 일 실시예에 따른 게이트웨이의 구성을 도시하는 블록도이다.
일 실시예에 따른 게이트웨이(700)는 외부 엔티티와 통신을 수행하는 통신부(710), 프로세서(720) 및 메모리(730)를 포함할 수 있다.
통신부(710)는 프로세서(720)의 제어에 의해 동작할 수 있다. 통신 부(710)는 프로세서(720)의 명령에 따라 유선 통신 방식 또는 무선 통신 방식으로 신호를 전송할 수 있다. 통신부(710)는 무선 통신 또는 유선 통신 방식으로 외부 장치,예를 들어,사용자 단말, 컨트롤러와 통신할 수 있다.통신부(710)는 연동되는 타 컴퓨팅 장치와 요청과 응답을 송수신할 수 있는바, 일 예시로서 그러한 요청과 응답은 동일한 TCP(transmission control protocol) 세션(session)에 의하여 이루어질 수 있지만, 이에 한정되지는 않는바, 예컨대 UDP(user datagram protocol) 데이터그램(datagram)으로서 송수신될 수도 있을 것이다.
프로세서(720)는 메모리(730)에 저장된 프로그램 명령(program command)을 실행할 수 있다. 프로세서(720)는 중앙 처리 장치(central processing unit; CPU)와 같이 본 발명에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다. 메모리(730)는 휘발성 저장 매체 및/또는 비휘발성 저장 매체로 구성될 수 있다. 예를 들어, 메모리(730)는 읽기 전용 메모리(read only memory; ROM) 및/또는 랜덤 액세스 메모리(random access memory; RAM)로 구성될 수 있다.또한, 프로세서(720)는 MPU(micro processing unit), CPU(central processing unit)또는 TPU(tensor processing unit), 캐시 메모리(cache memory), 데이터 버스(data bus) 등의 하드웨어 구성을 포함할 수 있다. 또한, 운영체제, 특정 목적을 수행하는 애플리케이션의 소프트웨어 구성을 더 포함할 수도 있다.
프로세서(720)는 컨트롤러로부터 제1사용자 단말 및 제2사용자 단말을 연결하는 제1네트워크에 대응되는 제1네트워크 네임 스페이스 생성 요청을 수신하고,제1네트워크 네임 스페이스 생성 요청에 응답하여,제1네트워크 네임 스페이스를 생성하고,컨트롤러로부터 제1네트워크 네임 스페이스에 대응되는 제1가상 인터페이스에 대한 정보를 수신하고,제1가상 인터페이스를 생성하고,제1가상 인터페이스를 제1네트워크 네임 스페이스에 할당할 수 있다. 프로세서(720)는 앞선 도면을 통해 설명된 게이트웨이(700)의 동작을 수행할 수 있음은 통상의 기술자가 이해할 것이다.
도 7를 참조하여 설명한 게이트웨이(700)의 구성은 예시적인 것에 불과할 뿐, 실시예가 이에 제한되는 것은 아니다. 예를 들어, 게이트웨이(700)는 도 7에 도시된 구성 외에도 다른 구성을 더 포함할 수 있다. 예를 들어, 게이트웨이(700)는 입력 인터페이스부, 출력 인터페이스부 등을 더 포함할 수 있다.
위 실시 예의 설명에 기초하여 해당 기술분야의 통상의 기술자는, 본 발명의 방법 및/또는 프로세스들, 그리고 그 단계들이 하드웨어, 소프트웨어 또는 특정 용례에 적합한 하드웨어 및 소프트웨어의 임의의 조합으로 실현될 수 있다는 점을 명확하게 이해할 수 있다. 상기 하드웨어는 범용 컴퓨터 및/또는 전용 컴퓨팅 장치 또는 특정 컴퓨팅 장치 또는 특정 컴퓨팅 장치의 특별한 모습 또는 구성요소를 포함할 수 있다.상기 프로세스들은 내부 및/또는 외부 메모리를 가지는, 하나 이상의 마이크로프로세서,마이크로컨트롤러,임베디드 마이크로컨트롤러,프로그래머블 디지털 신호 프로세서 또는 기타 프로그래머블 장치에 의하여 실현될 수 있다.게다가,혹은 대안으로서,상기 프로세스들은 주문형 집적회로(application specific integrated circuit; ASIC), 프로그래머블 게이트 어레이(programmable gate array), 프로그래머블 어레이 로직(Programmable Array Logic; PAL) 또는 전자 신호들을 처리하기 위해 구성될 수 있는 임의의 다른 장치 또는 장치들의 조합으로 실시될 수 있다.더욱이본 발명의 기술적 해법의 대상물 또는 선행 기술들에 기여하는 부분들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 기계 판독 가능한 기록 매체에 기록될 수 있다. 상기 기계 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 기계 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 통상의 기술자에게 공지되어 사용 가능한 것일 수도 있다. 기계 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD, Blu-ray와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 전술한 장치들 중 어느 하나뿐만 아니라 프로세서,프로세서 아키텍처 또는 상이한 하드웨어 및 소프트웨어의 조합들의 이종 조합,또는 다른 어떤 프로그램 명령어들을 실행할 수 있는 기계 상에서 실행되기 위하여 저장및 컴파일 또는 인터프리트될 수 있는, C와 같은 구조적 프로그래밍 언어, C++ 같은 객체지향적 프로그래밍 언어또는 고급 또는 저급 프로그래밍 언어(어셈블리어,하드웨어 기술 언어들 및 데이터베이스 프로그래밍 언어 및 기술들)를 사용하여 만들어질 수 있는바,기계어 코드,바이트코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 이에 포함된다.
따라서 본 개시서에 따른 일 태양에서는, 앞서 설명된 방법 및 그 조합들이 하나 이상의 컴퓨팅 장치들에 의하여 수행될 때,그 방법 및 방법의 조합들이 각 단계들을 수행하는 실행 가능한 코드로서 실시될 수 있다.다른 일 태양에서는,상기 방법은 상기 단계들을 수행하는 시스템들로서 실시될 수 있고,방법들은 장치들에 걸쳐 여러 가지 방법으로 분산되거나 모든 기능들이 하나의 전용,독립형 장치 또는 다른 하드웨어에 통합될 수 있다.또 다른 일 태양에서는,위에서 설명한 프로세스들과 연관된 단계들을 수행하는 수단들은 앞서 설명한 임의의 하드웨어 및/또는 소프트웨어를 포함할 수 있다.그러한 모든 순차 결합 및 조합들은 본 개시서의 범위 내에 속하도록 의도된 것이다.
예를 들어,상기 하드웨어 장치는 본 개시서에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다. 상기 하드웨어 장치는, 프로그램 명령어를 저장하기 위한 ROM/RAM 등과 같은 메모리와 결합되고 상기 메모리에 저장된 명령어들을 실행하도록 구성되는 MPU, CPU,GPU, TPU와 같은 프로세서를 포함할 수 있으며, 외부 장치와 신호를 주고받을 수 있는 통신부를 포함할 수 있다. 덧붙여, 상기 하드웨어 장치는 개발자들에 의하여 작성된 명령어들을 전달받기 위한 키보드, 마우스, 기타 외부 입력장치를 포함할 수 있다.
이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시 예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시 예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 사람이라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시 예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.
그와 같이 균등하게 또는 등가적으로 변형된 것에는, 예컨대 본 개시서에 따른 방법을 실시한 것과 동일한 결과를 낼 수 있는, 논리적으로 동치(logically equivalent)인 방법이 포함될 것인바,본 발명의 진의 및 범위는 전술한 예시들에 의하여 제한되어서는 아니되며,법률에 의하여 허용 가능한 가장 넓은 의미로 이해되어야 한다.

Claims (12)

  1. 컨트롤러에 의해 수행되는, 통신 제어 방법에 있어서,
    제1 사용자 단말 및 제2 사용자 단말 중 적어도 하나로부터 상기 제1 사용자 단말 및 상기 제2 사용자 단말을 연결하는 제1네트워크 생성 요청을 수신하는 단계;
    상기 제1 네트워크 생성 요청에 응답하여, 게이트웨이에 상기 제1 사용자 단말 및 상기 제2사용자 단말에 대응되는 제1네트워크 네임 스페이스 생성 요청을 전송하는 단계;및
    상기 제1 네트워크 네임 스페이스 생성 요청에 응답하여 상기 게이트웨이에 제1 네트워크 네임 스페이스가 생성된 경우, 상기 제1 네트워크 네임 스페이스에 할당될 제1 가상 인터페이스 정보를 상기 게이트웨이에 전송하는 단계
    를 포함하는, 통신 제어 방법.
  2. 제1항에 있어서,
    상기 제1 가상 인터페이스는,
    상기 제1 사용자 단말에 생성된 제1-1 터널 인터페이스 및 상기 제2사용자 단말에 생성된 제1-2 터널 인터페이스 중 적어도 하나에 대응되는 제1-3터널 인터페이스인, 통신 제어 방법.
  3. 제1항에 있어서,
    제3 사용자 단말 및 제4 사용자 단말 중 적어도 하나로부터 상기 제3 사용자 단말 및 상기 제4 사용자 단말을 연결하는 네트워크에 대한 제2 네트워크 생성 요청을 수신하는 경우, 상기 게이트웨이에 상기 제3 사용자 단말 및 상기 제4 사용자 단말 중 적어도 하나에 대응되는 제2 네트워크 네임 스페이스 생성 요청을 전송하는 단계;
    상기 게이트웨이에 제2 네트워크 네임 스페이스가 생성된 경우,상기 제2 네트워크 네임 스페이스에 할당될 제2 가상 인터페이스 정보를 상기 게이트웨이에 전송하는 단계
    를 더 포함하고,
    상기 제1 네트워크 네임 스페이스는 상기 제2 네트워크 네임 스페이스는 상호 구별되는 네임 스페이스인, 통신 제어 방법.
  4. 제3항에 있어서,
    상기 제2 가상 인터페이스는,
    상기 제3 사용자 단말에 생성된 제2-1 터널 인터페이스 및 상기 제4 사용자 단말에 생성된 제2-2 터널 인터페이스 중 적어도 하나에 대응되는 제2-3 터널 인터페이스인, 통신 제어 방법.
  5. 제1항에 있어서,
    상기 게이트웨이에 상기 제1네트워크네임 스페이스에 대응되는 제1 라우팅 테이블을 제공하는 단계
    를 더 포함하고,
    상기 제1 라우팅 테이블은,
    상기 제1 네트워크 네임 스페이스 내부에 추가되는, 통신 제어 방법.
  6. 게이트웨이에 의해 수행되는 통신 제어 방법에 있어서,
    컨트롤러로부터 제1 사용자 단말 및 제2 사용자 단말을 연결하는 제1 네트워크에 대응되는 제1 네트워크 네임 스페이스 생성 요청을 수신하는 단계;
    상기 제1 네트워크 네임 스페이스 생성 요청에 응답하여,제1 네트워크 네임 스페이스를 생성하는 단계;
    상기 컨트롤러로부터 상기 제1네트워크 네임 스페이스에 대응되는 제1 가상 인터페이스에 대한 정보를 수신하는 단계;
    상기 제1 가상 인터페이스를 생성하는 단계;및
    상기 제1 가상 인터페이스를 상기 제1네트워크 네임 스페이스에 할당하는 단계
    를 포함하는, 통신 제어 방법.
  7. 제6항에 있어서,
    상기 제1 가상 인터페이스는,
    상기 제1 사용자 단말에 생성된 제1-1 터널 인터페이스 및 상기 제2 사용자 단말에 생성된 제1-2 터널 인터페이스 중 적어도 하나에 대응되는 제1-3 터널 인터페이스인, 통신 제어 방법.
  8. 제6항에 있어서,
    상기 컨트롤러로부터 제3 사용자 단말 및 제4 사용자 단말을 연결하는 제2 네트워크에 대응되는 제2네트워크 네임 스페이스 생성 요청을 수신하는 경우,상기 제2 네트워크 네임 스페이스 생성 요청에 응답하여 제2 네트워크 네임 스페이스를 생성하는 단계;
    상기 컨트롤러로부터 상기 제2 네트워크 네임 스페이스에 대응되는 제2가상 인터페이스에 대한 정보를 수신하는 단계;
    상기 제2 가상 인터페이스를 생성하는 단계; 및
    상기 제2 가상 인터페이스를 상기 제2 네트워크 네임 스페이스에 할당하는 단계
    를 더 포함하고,
    상기 제1 네트워크 네임 스페이스와 상기 제2 네트워크 네임 스페이스는 상호 구별되는 네트워크 네임 스페이스인, 통신 제어 방법.
  9. 제6항에 있어서,
    상기 컨트롤러로부터, 상기 제1 네트워크네임 스페이스에 대응되는 제1 라우팅 테이블을 수신하는 단계;및
    상기 제1 라우팅 테이블을 상기 제1 네트워크 네임 스페이스에 할당하는 단계
    를 포함하는,통신 제어 방법.
  10. 컴퓨팅 장치로 하여금, 제1항의 방법을 수행하도록 구현된 명령어(instructions)를 포함하는 프로그램이 수록된 기계 판독 가능한 비일시적 기록 매체.
  11. 통신 제어 방법을 수행하는 컨트롤러에 있어서,
    통신부;및
    프로세서
    를 포함하고,
    상기 프로세서는,
    제1사용자 단말 및 제2사용자 단말 중 적어도 하나로부터 상기 제1사용자 단말 및 상기 제2사용자 단말을 연결하는 네트워크 생성 요청을 수신하고,
    상기수신한 요청에 응답하여,게이트웨이에 상기 제1사용자 단말 및 상기 제2사용자 단말에 대응되는 제1네트워크 네임 스페이스 생성 요청을 전송하고,
    상기 제1네트워크 네임 스페이스 생성 요청에 응답하여,상기 게이트웨이에 제1네트워크네임 스페이스가생성된 경우,상기 제1네트워크 네임 스페이스에 할당될 제1가상 인터페이스 정보를 상기 게이트웨이에 전송하는,컨트롤러.
  12. 통신 제어 방법을 수행하는 게이트웨이에 있어서,
    통신부; 및
    프로세서
    를 포함하고,
    상기 프로세서는,
    컨트롤러로부터 제1사용자 단말 및 제2사용자 단말을 연결하는 제1네트워크에 대응되는 제1네트워크 네임 스페이스 생성 요청을 수신하고,
    상기 제1네트워크 네임 스페이스 생성 요청에 응답하여,제1네트워크 네임 스페이스를 생성하고,
    상기 컨트롤러로부터 상기 제1네트워크 네임 스페이스에 대응되는 제1가상 인터페이스에 대한 정보를 수신하고,
    상기 제1가상 인터페이스를 생성하고,
    상기 제1가상 인터페이스를 상기 제1네트워크 네임 스페이스에 할당하는,게이트웨이.
PCT/KR2021/009125 2021-03-02 2021-07-15 네트워크 격리를 위한 통신 제어 방법 및 이를 이용한 장치 WO2022186431A1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020210027598A KR102270143B1 (ko) 2021-03-02 2021-03-02 네트워크 격리를 위한 통신 제어 방법 및 이를 이용한 장치
KR10-2021-0027598 2021-03-02

Publications (1)

Publication Number Publication Date
WO2022186431A1 true WO2022186431A1 (ko) 2022-09-09

Family

ID=76607722

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2021/009125 WO2022186431A1 (ko) 2021-03-02 2021-07-15 네트워크 격리를 위한 통신 제어 방법 및 이를 이용한 장치

Country Status (3)

Country Link
US (1) US11546190B2 (ko)
KR (1) KR102270143B1 (ko)
WO (1) WO2022186431A1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102270143B1 (ko) * 2021-03-02 2021-06-28 주식회사 아라드네트웍스 네트워크 격리를 위한 통신 제어 방법 및 이를 이용한 장치
CN117294763A (zh) * 2023-11-27 2023-12-26 武汉泽塔云科技股份有限公司 基于代理服务的终端请求信息转发的云桌面终端管理方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170117565A (ko) * 2015-02-20 2017-10-23 프리스틴 머신 엘엘씨 시스템 계층들 간에 데이터 연산 기능을 분할하는 방법
KR101806376B1 (ko) * 2016-01-12 2017-12-08 쿨클라우드(주) Ip 주소 제공하는 sdn 기반의 멀티 테넌트 지원 네트워크 시스템
KR20180104377A (ko) * 2017-03-13 2018-09-21 한국전자통신연구원 패킷 광 전송 네트워크를 통한 클라우드 간 가상 네트워킹 제공 방법
KR20200064102A (ko) * 2017-10-02 2020-06-05 브이엠웨어, 인코포레이티드 복수의 공용 클라우드에 걸쳐 있는 가상 네트워크의 생성
KR102270143B1 (ko) * 2021-03-02 2021-06-28 주식회사 아라드네트웍스 네트워크 격리를 위한 통신 제어 방법 및 이를 이용한 장치

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10728145B2 (en) * 2018-08-30 2020-07-28 Juniper Networks, Inc. Multiple virtual network interface support for virtual execution elements
US11159366B1 (en) * 2018-09-28 2021-10-26 Juniper Networks, Inc. Service chaining for virtual execution elements
US11316822B1 (en) * 2018-09-28 2022-04-26 Juniper Networks, Inc. Allocating external IP addresses from isolated pools
CN112438040A (zh) * 2019-07-01 2021-03-02 思杰系统有限公司 用于使用命名空间访问计算资源的系统和方法
US11658933B2 (en) * 2020-12-31 2023-05-23 Juniper Networks, Inc. Dynamically learning media access control and internet protocol addresses

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170117565A (ko) * 2015-02-20 2017-10-23 프리스틴 머신 엘엘씨 시스템 계층들 간에 데이터 연산 기능을 분할하는 방법
KR101806376B1 (ko) * 2016-01-12 2017-12-08 쿨클라우드(주) Ip 주소 제공하는 sdn 기반의 멀티 테넌트 지원 네트워크 시스템
KR20180104377A (ko) * 2017-03-13 2018-09-21 한국전자통신연구원 패킷 광 전송 네트워크를 통한 클라우드 간 가상 네트워킹 제공 방법
KR20200064102A (ko) * 2017-10-02 2020-06-05 브이엠웨어, 인코포레이티드 복수의 공용 클라우드에 걸쳐 있는 가상 네트워크의 생성
KR102270143B1 (ko) * 2021-03-02 2021-06-28 주식회사 아라드네트웍스 네트워크 격리를 위한 통신 제어 방법 및 이를 이용한 장치

Also Published As

Publication number Publication date
US11546190B2 (en) 2023-01-03
KR102270143B1 (ko) 2021-06-28
US20220286322A1 (en) 2022-09-08

Similar Documents

Publication Publication Date Title
WO2022186431A1 (ko) 네트워크 격리를 위한 통신 제어 방법 및 이를 이용한 장치
US9705930B2 (en) Method and system for using virtual tunnel end-point registration and virtual network identifiers to manage virtual extensible local area network access
EP2745474B1 (en) Virtualization gateway between virtualized and non-virtualized networks
CN106685787B (zh) 基于OpenStack的PowerVM虚拟化网络管理方法及装置
CN112910692B (zh) 基于微服务网关的服务网格流量控制方法、系统和介质
CN112702252A (zh) 一种报文处理方法、系统及相关设备
US7117280B2 (en) Network based intra-system communications architecture
CN111404753B (zh) 一种扁平网络配置方法、计算机设备及存储介质
US20090063706A1 (en) Combined Layer 2 Virtual MAC Address with Layer 3 IP Address Routing
CN111030912B (zh) 虚拟私有云vpc之间互通的方法
WO2018236554A1 (en) SYSTEM AND METHOD FOR LIMITING ACCESS TO CLOUD RESOURCES COMPRISING TRANSMISSION BETWEEN L3 AND L7 LAYERS USING IPV6 PACKET WITH INTEGRATED IPV4 ADDRESSES AND METADATA
CN105591982A (zh) 一种报文传输的方法和装置
US11520530B2 (en) Peripheral device for configuring compute instances at client-selected servers
CN107979614A (zh) 数据包检测方法及装置
WO2017086757A1 (ko) 보안 터널을 이용하여 타겟 장치의 보안을 제어하는 방법 및 장치
CN106685860B (zh) 网络虚拟化方法及设备
CN111294268B (zh) 避免ip地址冲突的方法及装置
CN110505095B (zh) 一种使用少量服务器搭建大规模虚拟数据中心的方法
WO2020171273A1 (ko) 공개 원장 기반 크리덴셜 자율적 운영 시스템 및 방법
WO2015037911A1 (ko) 오픈플로우를 이용하여 사용자 단말 장치와 로컬 호스트 사이의 통신을 지원하기 위한 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체
CN114389905B (zh) 网络流量统计方法、相关装置和介质
CN115185637A (zh) PaaS组件管理端和虚拟机代理的通信方法及装置
CN111800340B (zh) 数据包转发方法和装置
CN111880769B (zh) 一种适用于物联网应用系统接口的抽象描述方法及其应用
CN114157455A (zh) 一种数据传输方法、装置、设备以及存储介质

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21929293

Country of ref document: EP

Kind code of ref document: A1