[go: up one dir, main page]

KR20210051207A - Apparatus and method for providing security to an end-to-end communication - Google Patents

Apparatus and method for providing security to an end-to-end communication Download PDF

Info

Publication number
KR20210051207A
KR20210051207A KR1020190136178A KR20190136178A KR20210051207A KR 20210051207 A KR20210051207 A KR 20210051207A KR 1020190136178 A KR1020190136178 A KR 1020190136178A KR 20190136178 A KR20190136178 A KR 20190136178A KR 20210051207 A KR20210051207 A KR 20210051207A
Authority
KR
South Korea
Prior art keywords
address
packet
master
end communication
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
KR1020190136178A
Other languages
Korean (ko)
Inventor
김형주
강혜진
박경원
유한나
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020190136178A priority Critical patent/KR20210051207A/en
Publication of KR20210051207A publication Critical patent/KR20210051207A/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

일 실시예에 따른 정책 관리 장치와 연동하여 제 1 종단 통신 장치 및 제 2 종단 통신 장치 간 통신에 보안을 제공하는 보안 장치는, IP 주소와, 서브 ID 및 마스터 ID의 매핑 정보를 저장하는 저장부; 상기 제 1 종단 통신 장치로부터, 상기 제 2 종단 통신 장치로 향하는 제 1 패킷을 수신하는 수신부; 상기 제 1 패킷의 목적지 IP 주소를 상기 정책 관리 장치로 전송하여 이에 대응하는 마스터 ID를 수신하며, 상기 제 1 패킷의 출발지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 저장부에서 확인하는 ID 확인부; 상기 목적지 IP 주소에 대응하는 마스터 ID와, 상기 출발지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 정책 관리 장치로 전송하여 정책을 질의하고 승인 응답을 수신하는 정책 조회부; 상기 승인 응답의 수신에 따라 상기 제 1 패킷을 상기 제 2 종단 통신 장치 측으로 전송하는 전송부; 및 세션 유지 패킷을 생성하여 상기 제 2 종단 통신 장치 측으로 전송하는 세션 유지부를 포함한다.A security device that provides security for communication between a first end communication device and a second end communication device by interworking with the policy management device according to an embodiment is a storage unit that stores mapping information of an IP address, a sub ID, and a master ID ; A receiver configured to receive a first packet destined for the second end communication device from the first end communication device; ID confirmation that transmits the destination IP address of the first packet to the policy management device to receive a master ID corresponding thereto, and checks the sub ID and master ID corresponding to the source IP address of the first packet in the storage unit part; A policy inquiry unit for querying a policy and receiving an approval response by transmitting a master ID corresponding to the destination IP address, a sub ID and a master ID corresponding to the source IP address to the policy management device; A transmission unit for transmitting the first packet to the second end communication device in response to reception of the acknowledgment response; And a session maintenance unit generating a session maintenance packet and transmitting it to the second terminal communication device.

Description

종단 간 통신에 보안을 제공하기 위한 장치 및 방법{APPARATUS AND METHOD FOR PROVIDING SECURITY TO AN END-TO-END COMMUNICATION}Apparatus and method for providing security for end-to-end communication {APPARATUS AND METHOD FOR PROVIDING SECURITY TO AN END-TO-END COMMUNICATION}

본 발명은 IoT(Internet of Things) 기술에 관한 것으로서, 보다 구체적으로 IoT 단말과 IoT 서비스 서버 등과 같은 종단 통신 장치 간의 통신에 보안을 제공하기 위한 장치 및 방법에 관한 것이다.The present invention relates to Internet of Things (IoT) technology, and more particularly, to an apparatus and method for providing security for communication between an IoT terminal and a terminal communication device such as an IoT service server.

인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 네트워크에서, 사물 등 분산된 구성 요소들 간에 정보를 주고받아 처리하는 IoT(Internet of Things, 사물인터넷) 네트워크로 진화하고 있다. IoT(Internet of Things)란, 통신 가능한 모든 사물들을 네트워크에 연결하여 상호 통신 수행이 가능한 개념을 의미한다. 시스템적으로 인지할 수 있는 모든 객체인 Things는 근거리 및 원거리 통신 기능을 탑재하고, 센서 등을 통해 데이터를 생산할 수 있다. IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술 및 보안 기술과 같은 기술 요소들이 요구된다. 최근에는 사물 간의 연결을 위한 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 연구되고 있다. 이러한 IoT 서비스는 퍼블릭 네트워크(Public Network) 환경에서 제공된다. 즉 누구나 언제든지 IoT 네트워크에 접속할 수 있다. 이와 같이 IoT 서비스는 퍼블릭 네트워크 환경에서 제공되기 때문에 IoT 디바이스(IoT 단말이나 IoT 서비스 서버)는 퍼블릭 네트워크에 노출되어 보안이 취약할 수 있다. The Internet is evolving from a human-centered network in which humans create and consume information, to an Internet of Things (IoT) network that exchanges and processes information between distributed components such as objects. The Internet of Things (IoT) refers to a concept in which all communicationable objects can be connected to a network to perform mutual communication. Things, which are all objects that can be recognized systematically, are equipped with short-range and long-distance communication functions, and can produce data through sensors. In order to implement IoT, technological elements such as sensing technology, wired/wireless communication and network infrastructure, service interface technology, and security technology are required. In recent years, technologies such as sensor network, machine to machine (M2M), and machine type communication (MTC) for connection between objects are being studied. These IoT services are provided in a public network environment. In other words, anyone can access the IoT network at any time. In this way, since IoT services are provided in a public network environment, IoT devices (IoT terminals or IoT service servers) may be exposed to the public network, resulting in weak security.

본 발명은 상술한 문제점을 해결하기 위해 제안된 것으로, IoT 단말과 IoT 서비스 서버 등과 같은 종단 통신 장치 간의 통신에서 식별자(ID : Identifier) 기반의 정책을 기초로 보안을 제공하기 위한 장치 및 방법을 제공하는 데 목적이 있다.The present invention has been proposed to solve the above-described problem, and provides an apparatus and method for providing security based on an identifier (ID)-based policy in communication between an IoT terminal and an end communication device such as an IoT service server. There is a purpose to do it.

일 실시예에 따른 정책 관리 장치와 연동하여 제 1 종단 통신 장치 및 제 2 종단 통신 장치 간 통신에 보안을 제공하는 보안 장치는, IP 주소와, 서브 ID 및 마스터 ID의 매핑 정보를 저장하는 저장부; 상기 제 1 종단 통신 장치로부터, 상기 제 2 종단 통신 장치로 향하는 제 1 패킷을 수신하는 수신부; 상기 제 1 패킷의 목적지 IP 주소를 상기 정책 관리 장치로 전송하여 이에 대응하는 마스터 ID를 수신하며, 상기 제 1 패킷의 출발지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 저장부에서 확인하는 ID 확인부; 상기 목적지 IP 주소에 대응하는 마스터 ID와, 상기 출발지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 정책 관리 장치로 전송하여 정책을 질의하고 승인 응답을 수신하는 정책 조회부; 상기 승인 응답의 수신에 따라 상기 제 1 패킷을 상기 제 2 종단 통신 장치 측으로 전송하는 전송부; 및 세션 유지 패킷을 생성하여 상기 제 2 종단 통신 장치 측으로 전송하는 세션 유지부를 포함한다.A security device that provides security for communication between a first end communication device and a second end communication device by interworking with the policy management device according to an embodiment is a storage unit that stores mapping information of an IP address, a sub ID, and a master ID ; A receiver configured to receive a first packet destined for the second end communication device from the first end communication device; ID confirmation that transmits the destination IP address of the first packet to the policy management device to receive a master ID corresponding thereto, and checks the sub ID and master ID corresponding to the source IP address of the first packet in the storage unit part; A policy inquiry unit for querying a policy and receiving an approval response by transmitting a master ID corresponding to the destination IP address, a sub ID and a master ID corresponding to the source IP address to the policy management device; A transmission unit for transmitting the first packet to the second end communication device in response to reception of the acknowledgment response; And a session maintenance unit generating a session maintenance packet and transmitting it to the second terminal communication device.

상기 세션 유지부는, 상기 제 2 종단 통신 장치 측에서 상기 세션 유지 패킷을 세션 유지를 위한 패킷으로 판단하고 삭제하도록 상기 세션 유지 패킷의 헤더에 특정 플래그를 포함시킬 수 있다.The session maintenance unit may include a specific flag in the header of the session maintenance packet so that the second end communication device determines the session maintenance packet as a packet for session maintenance and deletes it.

상기 세션 유지부는, 상기 세션 유지 패킷의 헤더에 특정 플래그가 포함되어 있는 경우 세션 유지 패킷으로 판단한 후 삭제할 수 있다.When a specific flag is included in the header of the session maintenance packet, the session maintenance unit may determine it as a session maintenance packet and then delete it.

복수의 상기 제 1 종단 통신 장치들이 하나의 서비스 그룹에 속하고, 하나의 상기 마스터 ID가, 공인 IP 주소가 할당되는 상기 서비스 그룹에 할당되며, 상기 복수의 제 1 종단 통신 장치 각각에 서로 다른 상기 서브 ID가 할당되고, 상기 보안 장치는, 이동통신 코어망에서 통신 계층상 NAT(Network Address Translation) 하위에 설치될 수 있다.The plurality of first end communication devices belong to one service group, one master ID is assigned to the service group to which a public IP address is assigned, and the plurality of first end communication devices are different from each other. A sub ID is assigned, and the security device may be installed under a network address translation (NAT) on a communication layer in a mobile communication core network.

복수의 상기 제 1 종단 통신 장치들이 하나의 서비스 그룹에 속하고, 하나의 상기 마스터 ID가, 공인 IP 주소가 할당되는 상기 서비스 그룹에 할당되며, 상기 복수의 제 1 종단 통신 장치 각각에 동일한 서브 ID가 할당되고, 상기 보안 장치는, 이동통신 코어망에서 통신 계층상 NAT(Network Address Translation) 상위에 설치될 수 있다. The plurality of first end communication devices belong to one service group, one master ID is assigned to the service group to which a public IP address is assigned, and the same sub ID to each of the plurality of first end communication devices Is assigned, and the security device may be installed above a network address translation (NAT) on a communication layer in a mobile communication core network.

상기 수신부는, 상기 제 2 종단 통신 장치 측으로부터 상기 제 1 종단 통신 장치로 향하는 제 2 패킷을 수신하고, 상기 ID 확인부는, 상기 제 2 패킷의 출발지 IP 주소를 상기 정책 관리 장치로 전송하여 이에 대응하는 마스터 ID를 수신하며, 상기 제 2 패킷의 목적지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 저장부에서 확인하고, 상기 정책 조회부는, 상기 제 2 패킷의 출발지 IP 주소에 대응하는 마스터 ID와, 상기 제 2 패킷의 목적지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 정책 관리 장치로 전송하여 정책을 질의하고 승인 응답을 수신하며, 상기 전송부는, 상기 제 2 패킷을 상기 제 1 종단 통신 장치로 전송할 수 있다.The receiving unit receives a second packet destined for the first end communication device from the second end communication device side, and the ID check unit responds by transmitting the source IP address of the second packet to the policy management device. A master ID corresponding to the destination IP address of the second packet, and a sub ID and a master ID corresponding to the destination IP address of the second packet are checked in the storage unit, and the policy inquiry unit includes a master ID corresponding to the source IP address of the second packet , A sub ID and a master ID corresponding to the destination IP address of the second packet are transmitted to the policy management device to query a policy and receive an approval response, and the transmission unit transmits the second packet to the first end communication device. Can be transferred to.

상기 정책 조회부는, 상기 승인 응답에 토큰 시드를 포함하여 수신하고, 상기 토큰 시드를 이용하여 토큰을 생성하며, 상기 제 1 패킷에 상기 토큰을 삽입할 수 있다. The policy inquiry unit may receive the approval response including a token seed, generate a token using the token seed, and insert the token into the first packet.

상기 정책 조회부는, 넌스(Nonce), 상기 제 1 패킷의 페이로드, 타임스탬프, 상기 서브 ID, 상기 토큰 시드를 이용하여 토큰을 생성할 수 있다. The policy inquiry unit may generate a token using a nonce, a payload of the first packet, a timestamp, the sub ID, and the token seed.

상기 정책 관리 장치는, 정책 정보로서, 서로 통신이 허용된 각 종단 통신 장치의 서브 ID 및 마스터 ID마다 타 종단 통신 장치의 마스터 ID의 매핑 정보를 저장하고, 그 정책 정보를 기초로 상기 승인 응답을 회신하며, IP 주소 정보로서, 마스터 ID 및 IP 주소의 매핑 정보를 저장하고, 그 IP 주소 정보를 기초로 상기 ID 확인부로부터 수신되는 IP 주소에 대응하는 마스터 ID를 상기 ID 확인부로 회신할 수 있다.The policy management device stores, as policy information, mapping information of the master ID of the other end communication device for each sub-ID and master ID of each end communication device that are allowed to communicate with each other, and sends the approval response based on the policy information. In response, as IP address information, mapping information of a master ID and an IP address is stored, and a master ID corresponding to an IP address received from the ID verification unit may be returned to the ID verification unit based on the IP address information. .

일 실시예에 따른 보안 장치에서 정책 관리 장치와 연동하여 제 1 종단 통신 장치 및 제 2 종단 통신 장치 간 통신에 보안을 제공하는 방법은, IP 주소와, 서브 ID 및 마스터 ID의 매핑 정보를 저장하는 단계; 상기 제 1 종단 통신 장치로부터, 상기 제 2 종단 통신 장치로 향하는 제 1 패킷을 수신하는 단계; 상기 제 1 패킷의 목적지 IP 주소를 상기 정책 관리 장치로 전송하여 이에 대응하는 마스터 ID를 수신하며, 상기 제 1 패킷의 출발지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 저장부에서 확인하는 단계; 상기 목적지 IP 주소에 대응하는 마스터 ID와, 상기 출발지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 정책 관리 장치로 전송하여 정책을 질의하고 승인 응답을 수신하는 단계; 상기 승인 응답의 수신에 따라 상기 제 1 패킷을 상기 제 2 종단 통신 장치 측으로 전송하는 단계; 및 세션 유지 패킷을 생성하여 상기 제 2 종단 통신 장치 측으로 전송하는 단계를 포함한다.A method of providing security for communication between a first end communication device and a second end communication device by interworking with a policy management device in a security device according to an embodiment includes storing mapping information of an IP address, a sub ID, and a master ID. step; Receiving a first packet from the first end communication device to the second end communication device; Transmitting the destination IP address of the first packet to the policy management device to receive a master ID corresponding thereto, and checking a sub ID and a master ID corresponding to the source IP address of the first packet in the storage unit; Transmitting a master ID corresponding to the destination IP address, a sub ID and a master ID corresponding to the source IP address to the policy management device to query a policy and receive an approval response; Transmitting the first packet to the second end communication device upon receipt of the acknowledgment response; And generating a session maintenance packet and transmitting it to the second end communication device.

상기 세션 유지 패킷을 생성하여 상기 제 2 종단 통신 장치 측으로 전송하는 단계는, 상기 제 2 종단 통신 장치 측에서 상기 세션 유지 패킷을 세션 유지를 위한 패킷으로 판단하고 삭제하도록 상기 세션 유지 패킷의 헤더에 특정 플래그를 포함시킬 수 있다.The step of generating the session maintenance packet and transmitting it to the second terminal communication device may include specifying the session maintenance packet in the header of the session maintenance packet so that the second terminal communication device determines the session maintenance packet as a packet for session maintenance and deletes it. You can include flags.

상기 세션 유지 패킷을 수신하는 단계는, 상기 세션 유지 패킷의 헤더에 특정 플래그가 포함되어 있는 경우 세션 유지 패킷으로 판단한 후 삭제하는 단계를 포함할 수 있다.Receiving the session maintenance packet may include determining that a specific flag is included in the header of the session maintenance packet and then deleting it after determining that it is a session maintenance packet.

복수의 상기 제 1 종단 통신 장치들이 하나의 서비스 그룹에 속하고, 하나의 상기 마스터 ID가, 공인 IP 주소가 할당되는 상기 서비스 그룹에 할당되며, 상기 복수의 제 1 종단 통신 장치 각각에 서로 다른 상기 서브 ID가 할당되고, 상기 보안 장치는, 이동통신 코어망에서 통신 계층상 NAT(Network Address Translation) 하위에 설치할 수 있다.The plurality of first end communication devices belong to one service group, one master ID is assigned to the service group to which a public IP address is assigned, and the plurality of first end communication devices are different from each other. A sub ID is assigned, and the security device may be installed under a network address translation (NAT) on a communication layer in a mobile communication core network.

복수의 상기 제 1 종단 통신 장치들이 하나의 서비스 그룹에 속하고, 하나의 상기 마스터 ID가, 공인 IP 주소가 할당되는 상기 서비스 그룹에 할당되며, 상기 복수의 제 1 종단 통신 장치 각각에 동일한 서브 ID가 할당되고, 상기 보안 장치는, 이동통신 코어망에서 통신 계층상 NAT(Network Address Translation) 상위에 설치될 수 있다.The plurality of first end communication devices belong to one service group, one master ID is assigned to the service group to which a public IP address is assigned, and the same sub ID to each of the plurality of first end communication devices Is assigned, and the security device may be installed above a network address translation (NAT) on a communication layer in a mobile communication core network.

상기 방법은, 상기 제 2 종단 통신 장치 측으로부터 상기 제 1 종단 통신 장치로 향하는 제 2 패킷을 수신하는 단계; 상기 제 2 패킷의 출발지 IP 주소를 상기 정책 관리 장치로 전송하여 이에 대응하는 마스터 ID를 수신하며, 상기 제 2 패킷의 목적지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 저장부에서 확인하는 단계; 상기 제 2 패킷의 상기 출발지 IP 주소에 대응하는 마스터 ID와, 상기 제 2 패킷의 목적지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 정책 관리 장치로 전송하여 정책을 질의하고 승인 응답을 수신하는 단계; 및 상기 제 2 패킷을 상기 제 1 종단 통신 장치로 전송하는 단계를 더 포함할 수 있다.The method includes the steps of: receiving a second packet from the second end communication device side to the first end communication device; Transmitting a source IP address of the second packet to the policy management device to receive a master ID corresponding thereto, and checking a sub ID and a master ID corresponding to the destination IP address of the second packet in the storage unit; Transmitting a master ID corresponding to the source IP address of the second packet, and a sub ID and master ID corresponding to the destination IP address of the second packet to the policy management device to query a policy and receive an approval response ; And transmitting the second packet to the first end communication device.

상기 방법은, 상기 승인 응답에 포함된 토큰 시드를 이용하여 토큰을 생성하며, 상기 제 1 패킷에 상기 토큰을 삽입하는 단계를 더 포함할 수 있다. The method may further include generating a token using a token seed included in the authorization response, and inserting the token into the first packet.

상기 토큰을 삽입하는 단계는, 넌스(Nonce), 상기 제 1 패킷의 페이로드, 타임스탬프, 상기 서브 ID, 상기 토큰 시드를 이용하여 토큰을 생성할 수 있다.In the step of inserting the token, a token may be generated using a nonce, a payload of the first packet, a timestamp, the sub ID, and the token seed.

상기 정책 관리 장치는, 정책 정보로서, 서로 통신이 허용된 각 종단 통신 장치의 서브 ID 및 마스터 ID마다 타 종단 통신 장치의 마스터 ID의 매핑 정보를 저장하고, 그 정책 정보를 기초로 상기 승인 응답을 회신하며, IP 주소 정보로서, 마스터 ID 및 IP 주소의 매핑 정보를 저장하고, 그 IP 주소 정보를 기초로 상기 보안 장치로부터 수신되는 IP 주소에 대응하는 마스터 ID를 상기 보안 장치로 회신할 수 있다.The policy management device stores, as policy information, mapping information of the master ID of the other end communication device for each sub ID and master ID of each end communication device allowed to communicate with each other, and sends the approval response based on the policy information. In response, mapping information of a master ID and an IP address may be stored as IP address information, and a master ID corresponding to an IP address received from the security device may be returned to the security device based on the IP address information.

일 실시예에서, 네트워크 구조에 따라 변동성이 높은 IP 주소 기반의 정책을 탈피하여 식별자(ID : Identifier) 기반 정책을 이용함으로써 퍼블릭 네트워크를 통한 IoT 서비스의 보안을 높인다.In one embodiment, the security of the IoT service through the public network is improved by using an identifier (ID)-based policy by breaking away from the IP address-based policy, which is highly volatile according to the network structure.

일 실시예에서, 종단 통신 장치에 연결되는 보안 모듈에서 송수신되는 패킷에 토큰을 삽입하고 또는 삽입된 토큰을 검증함으로써 종단 통신 장치로 악성 패킷이 수신되는 것을 차단하여 종단 통신 장치에 대한 해킹을 차단할 수 있다.In one embodiment, by inserting a token into a packet transmitted/received by a security module connected to the end communication device or verifying the inserted token, it is possible to block the reception of malicious packets to the end communication device, thereby preventing hacking of the end communication device. have.

일 실시예에서, 보안 모듈 간의 세션이 연결된 상태에서 세션이 드롭되는 것을 방지하여 원활한 통신이 가능하도록 한다. In an embodiment, a session is prevented from being dropped while a session between security modules is connected, thereby enabling smooth communication.

도 1은 본 발명의 일 실시예에 따른 종단(End-to-End) 간 통신 시스템을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 정책 관리 장치에서 관리하는 정보를 나타낸 도면이다.
도 3은 본 발명의 다른 실시예에 따른 정책 관리 장치에서 관리하는 정보를 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 보안 모듈 및 정책 관리 장치의 블럭도이다.
도 5는 본 발명의 다른 실시예에 따른 보안 모듈 및 정책 관리 장치의 블럭도이다.
도 6은 본 발명의 또 다른 실시예에 따른 보안 모듈 및 정책 관리 장치의 블럭도이다.
도 7은 본 발명의 일 실시예에 따른 세션 유지 방법을 설명하는 도면이다.1 is a diagram showing an end-to-end communication system according to an embodiment of the present invention.
2 is a diagram illustrating information managed by a policy management device according to an embodiment of the present invention.
3 is a diagram showing information managed by a policy management device according to another embodiment of the present invention.
4 is a block diagram of a security module and a policy management device according to an embodiment of the present invention.
5 is a block diagram of a security module and a policy management apparatus according to another embodiment of the present invention.
6 is a block diagram of a security module and a policy management device according to another embodiment of the present invention.
7 is a diagram illustrating a method of maintaining a session according to an embodiment of the present invention.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.The above-described objects, features, and advantages will become more apparent through the following detailed description in connection with the accompanying drawings, whereby those of ordinary skill in the technical field to which the present invention pertains can easily implement the technical idea of the present invention. There will be. In addition, in describing the present invention, when it is determined that a detailed description of a known technology related to the present invention may unnecessarily obscure the subject matter of the present invention, a detailed description thereof will be omitted. Hereinafter, a preferred embodiment according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 종단(End-to-End) 간 통신 시스템을 나타낸 도면이다. 도 1을 참조하면, 본 실시예에 따른 종단 간 통신 시스템은, 종단 통신 장치들(110, 150), 보안 모듈들(120, 140) 및 정책 관리 장치(180)를 포함한다.1 is a diagram showing an end-to-end communication system according to an embodiment of the present invention. Referring to FIG. 1, an end-to-end communication system according to the present embodiment includes end communication devices 110 and 150, security modules 120 and 140, and a policy management device 180.

종단 통신 장치들(110, 150)은 통신 경로 상의 끝에 존재하는 통신 장치로서, 예를 들어, 가스 센서, 화재 감지 센서, 카메라, 인공지능 스피커, 차량에 설치되는 디바이스 등의 IoT 단말이나, 이러한 IoT 단말과 통신하여 IoT 서비스를 제공하는 IoT 서비스 서버를 포함한다. IoT 단말은 메모리와 프로세서 및 통신 회로 등을 포함하여 IoT 서비스 서버와 통신할 수 있고, 또는 다른 IoT 단말과 P2P 통신을 할 수 있다. IoT 서비스 서버는 IoT 단말과 연결되어 IoT 단말로부터 주기적으로 상태 정보를 수신하고 또한 IoT 단말의 펌웨어를 업데이트하며 IoT 단말로 콘텐츠 스트리밍 등의 서비스를 제공할 수 있다.Terminal communication devices (110, 150) are communication devices that exist at the end of the communication path, for example, gas sensors, fire detection sensors, cameras, artificial intelligence speakers, IoT terminals such as devices installed in vehicles, such as IoT It includes an IoT service server that communicates with a terminal to provide IoT services. The IoT terminal may communicate with an IoT service server including a memory, a processor, and a communication circuit, or P2P communication with another IoT terminal. The IoT service server is connected to the IoT terminal to periodically receive status information from the IoT terminal, update the firmware of the IoT terminal, and provide services such as content streaming to the IoT terminal.

본 실시예에서 종단 통신 장치들(110)은 IoT 단말들이고, 종단 통신 장치(150)는 IoT 서비스 서버로서, 하나의 서비스 그룹을 구성한다. 종단 통신 장치들(110)은 종단 통신 장치(150)와 통신을 한다. 예를 들어, 종단 통신 장치들(110)은 자동차들에 설치되는 단말들이고, 종단 통신 장치(150)는 자동차 회사에서 운영하는 서버이다. 종단 통신 장치들(110)은 NAT(Network Address Translation) 기준으로 사설 IP 주소와 공인 IP 주소를 사용한다. 바람직하게, 공인 IP 주소는 1.1.1.1 ~ 1.1.1.10과 같은 IP 주소 대역이 할당되고, 각 종단 통신 장치들(110)은 내부적으로 지정된 사설 IP 주소 대역에서 선택된 사설 IP 주소가 할당된다. 다른 서비스 그룹에 대해서는 다른 공인 IP 주소 대역이 할당되고, 또한 다른 사설 IP 주소 대역 내에서 내부적으로 사설 IP 주소가 할당된다. In this embodiment, the end communication devices 110 are IoT terminals, and the end communication devices 150 are IoT service servers, constituting one service group. The end communication devices 110 communicate with the end communication device 150. For example, the terminal communication devices 110 are terminals installed in automobiles, and the terminal communication device 150 is a server operated by an automobile company. The end communication devices 110 use a private IP address and a public IP address based on a network address translation (NAT). Preferably, the public IP address is allocated an IP address band such as 1.1.1.1 to 1.1.1.10, and each end communication device 110 is allocated a private IP address selected from the private IP address band designated internally. Different public IP address bands are allocated for different service groups, and private IP addresses are allocated internally within different private IP address bands.

보안 모듈들(120, 140)은 종단 통신 장치(110, 150)를 통신망을 통한 외부 공격으로부터 보호한다. 보안 모듈들(120, 140)은 통신 계층상 종단 통신 장치들(110, 150)의 상위 계층에 위치한다. 제 1 보안 모듈(120)은, 이동통신망의 코어망에 설치되고, 제 2 보안 모듈(140)은 물리적인 어댑터 형태로 제작되어 종단 통신 장치들(150)에 물리적으로 연결될 수 있다. 바람직하게, 제 1 보안 모듈(120)은, 5G 엣지 서버에 설치될 수 있다. 제 1 보안 모듈(120)과 통신하는 종단 통신 장치들(110)에는 제 1 보안 모듈(120)의 APN(Access Point Name)이 설정된다. 보안 모듈들(120, 140)은 메모리 및 프로세서 그리고 통신 회로를 포함할 수 있다. 또는 보안 모듈들(120, 140)은 소프트웨어로 제작되어 종단 통신 장치(110, 150)의 메모리에 저장되어 실행될 수 있다. The security modules 120 and 140 protect the end communication devices 110 and 150 from external attacks through a communication network. The security modules 120 and 140 are located in an upper layer of the terminal communication devices 110 and 150 on the communication layer. The first security module 120 is installed in a core network of a mobile communication network, and the second security module 140 is manufactured in the form of a physical adapter to be physically connected to the end communication devices 150. Preferably, the first security module 120 may be installed in a 5G edge server. In the terminal communication devices 110 communicating with the first security module 120, an APN (Access Point Name) of the first security module 120 is set. The security modules 120 and 140 may include a memory, a processor, and a communication circuit. Alternatively, the security modules 120 and 140 may be manufactured as software and stored in the memory of the end communication devices 110 and 150 to be executed.

이동통신망의 코어망은 인증, 접속 및 이동성 제어 기능을 수행하는 AMF(Access and Mobility Management Function)와, 세션 제어 기능을 수행하는 SMF(Session Management Function), 무선 액세스 네트워크를 수용하는 데이터 평면의 네트워크 엔티티인 UPF(User Plane Function) 등을 포함한다. UPF와 무선 액세스 네트워크는 SMF로부터 N4 및 N2 인터페이스를 통해 단말에 대한 라우팅 룰을 수신하며, 수신한 라이팅 룰을 통해 IP 라우팅 기능을 수행한다. 또한, IP 주소의 변환을 담당하는 NAT(Network Address Translation)을 포함한다. 제 1 보안 모듈(120)은, 종단 통신 장치들(110)을 기준으로 통신 계층상 NAT의 상위에 위치할 수 있고, 또는 NAT의 하위에 위치할 수 있다. The core network of the mobile communication network is an Access and Mobility Management Function (AMF) that performs authentication, access, and mobility control functions, a Session Management Function (SMF) that performs a session control function, and a data plane network entity that accommodates a radio access network. Including UPF (User Plane Function). The UPF and the radio access network receive routing rules for terminals from the SMF through N4 and N2 interfaces, and perform IP routing functions through the received writing rules. It also includes Network Address Translation (NAT), which is responsible for translation of IP addresses. The first security module 120 may be located above the NAT on the communication layer based on the end communication devices 110 or located below the NAT.

종단 통신 장치들(110, 150)은 서브 ID와 마스터 ID가 할당된다. 서브 ID는 종단 통신 장치들(110, 150)에 대응하는 식별자이고, 마스터 ID는 보안 모듈(120, 140)을 기준으로 보안 모듈(120, 140)에 연결된 종단 통신 장치들(110, 150)의 서비스 그룹에 대응하는 식별자이다. Termination communication devices 110 and 150 are assigned a sub ID and a master ID. The sub ID is an identifier corresponding to the end communication devices 110 and 150, and the master ID is of the end communication devices 110 and 150 connected to the security modules 120 and 140 based on the security modules 120 and 140. This is an identifier corresponding to the service group.

IoT 단말인 종단 통신 장치들(110)에 할당되는 서브 ID는 실시 형태에 따라 동일할 수 있고 또는 서로 다를 수 있다. 제 1 보안 모듈(120)의 설치 위치에 따라 결정된다. 제 1 보안 모듈(120)이 NAT의 하위에 설치되는 경우, 즉 종단 통신 장치들(110)로부터 제 1 보안 모듈(120)로 전송되는 패킷의 출발지 IP 주소가 NAT에 의해 공인 IP 주소로 변경되지 않고 제 1 보안 모듈(120)로 수신된다면, 종단 통신 장치들(110)에 할당되는 서브 ID는 모두 다르다. 반면, 제 1 보안 모듈(120)이 NAT의 상위에 설치되는 경우, 즉 종단 통신 장치들(110)로부터 제 1 보안 모듈(120)로 전송되는 패킷의 출발지 IP 주소가 NAT에 의해 공인 IP 주소로 변경되어 제 1 보안 모듈(120)로 수신된다면, 종단 통신 장치들(110)에 할당되는 서브 ID는 동일하다. The sub IDs assigned to the end communication devices 110, which are IoT terminals, may be the same or different from each other depending on the embodiment. It is determined according to the installation position of the first security module 120. When the first security module 120 is installed under the NAT, that is, the source IP address of the packet transmitted from the end communication devices 110 to the first security module 120 is not changed to a public IP address by NAT. If not received by the first security module 120, the sub-IDs assigned to the end communication devices 110 are all different. On the other hand, when the first security module 120 is installed above the NAT, that is, the source IP address of the packet transmitted from the end communication devices 110 to the first security module 120 is converted to a public IP address by NAT. If changed and received by the first security module 120, the sub IDs assigned to the end communication devices 110 are the same.

마스터 ID는 제 1 보안 모듈(120)의 설치 위치와는 무관하다. 제 1 보안 모듈(120)의 하위에 위치하여 동일한 서비스 그룹에 속하는 종단 통신 장치들(110)은 동일한 마스터 ID가 할당되고, 제 2 보안 모듈(140)의 하위에 위치하는 종단 통신 장치(150)는 다른 마스터 ID가 할당된다. The master ID is irrelevant to the installation location of the first security module 120. Termination communication devices 110 located under the first security module 120 and belonging to the same service group are assigned the same master ID, and end communication devices 150 located under the second security module 140 Is assigned a different master ID.

보안 모듈들(120, 140)은, 종단 통신 장치들(110, 150)로부터 수신된 패킷을 외부로 전송할 때, 정책 관리 장치(180)로 정책을 질의하고, 정책 조회 결과에 따라 패킷의 외부로의 전송 여부를 결정한다. 또한, 보안 모듈들(120, 140)은, 외부로부터 종단 통신 장치들(110, 150)로 향하는 패킷이 수신될 때, 마찬가지로 정책 관리 장치(180)로 정책을 질의하고, 정책 조회 결과에 따라 패킷의 내부로의 전송 여부를 결정한다. 이때, 정책은, ID 기반의 종단 통신 연결 정책으로서, 각 서브 ID마다 생성되고, 상호 통신이 허용된 종단 통신 장치들 간의 ID 매핑 정보이다.When transmitting a packet received from the end communication devices 110 and 150 to the outside, the security modules 120 and 140 query the policy management device 180 to the outside of the packet according to the policy inquiry result. Decide whether to transmit or not. In addition, when a packet destined for the end communication devices 110 and 150 from the outside is received, the security modules 120 and 140 also query the policy management device 180 for a policy, and the packet Determines whether to transmit to the inside of the device. In this case, the policy is an ID-based end communication connection policy, which is generated for each sub-ID, and is ID mapping information between end communication devices that are allowed to communicate with each other.

보안 모듈(120, 140)은, 종단 통신 장치(110, 150)로부터 수신된 패킷을 외부로 전송할 때, 정책 관리 장치(180)로 토큰 시드를 요청하고 정책 관리 장치(180)로부터 수신된 토큰 시드를 이용하여 생성한 토큰을 패킷에 삽입하여 전송할 수 있다. 또한, 보안 모듈들(120, 140)은, 외부로부터 종단 통신 장치들(110, 150)로 향하는 패킷이 수신될 때, 정책 관리 장치(180)로 패킷을 전송한 측에서 사용한 토큰 시드를 요청하고, 정책 관리 장치(180)로부터 수신된 토큰 시드를 이용하여 패킷에 포함된 토큰을 검증한다. 보안 모듈들(120, 140)은, 토큰 검증에 성공시에 외부로부터 수신된 패킷에서 토큰을 제거하여 내부의 종단 통신 장치(110, 150)로 전달한다. The security modules 120 and 140 request a token seed from the policy management device 180 when transmitting a packet received from the end communication device 110 or 150 to the outside, and the token seed received from the policy management device 180 The token generated by using can be inserted into the packet and transmitted. In addition, the security modules 120 and 140, when a packet destined for the end communication devices 110 and 150 from the outside is received, request a token seed used by the side that transmitted the packet to the policy management device 180, and , Using the token seed received from the policy management device 180, the token included in the packet is verified. When the token verification is successful, the security modules 120 and 140 remove the token from the packet received from the outside and transmit it to the internal end communication devices 110 and 150.

정책 관리 장치(180)는, 종단 통신 장치들(110, 150)의 정보, ID 기반의 종단 통신 연결 정책, IP 주소 정보를 저장한다. The policy management device 180 stores information of the end communication devices 110 and 150, an ID-based end communication connection policy, and IP address information.

도 2는 본 발명의 일 실시예에 따른 정책 관리 장치에서 관리하는 정보를 나타낸 도면으로, 제 1 보안 모듈(120)이 NAT 상위에 설치될 때의 예이다. 본 실시예에서 제 1 보안 모듈(120)의 하위에 위치하는 특정 서비스 그룹에 속하는 종단 통신 장치들(110)은 동일한 서브 ID인 DevID1이 할당되고, 마스터 ID로서 MasterID1가 할당된다. 제 1 보안 모듈(120)이 NAT의 상위에 설치되기 때문에, 제 1 보안 모듈(120)에서는 하위의 종단 통신 장치들(110)의 서로 다른 사설 IP 주소가 보이지 않고 공인 IP 주소만 보이기 때문에, 정책 관리 장치(180)에서 해당 종단 통신 장치들(110)의 서브 ID가 동일하게 관리되는 것이다. 제 2 보안 모듈(140)의 하위에 위치하는 종단 통신 장치(150)는 서브 ID로 DevID2가 할당되고 마스터 ID로 MasterID2가 할당된다. 2 is a diagram showing information managed by a policy management apparatus according to an embodiment of the present invention, and is an example when the first security module 120 is installed above the NAT. In this embodiment, the end communication devices 110 belonging to a specific service group located under the first security module 120 are assigned the same sub ID, DevID1, and the master ID, MasterID1. Since the first security module 120 is installed above the NAT, the first security module 120 does not see different private IP addresses of the lower end communication devices 110, but only the public IP address. The management device 180 manages the sub IDs of the corresponding end communication devices 110 in the same manner. In the end communication device 150 located below the second security module 140, DevID2 is assigned as a sub ID and MasterID2 is assigned as a master ID.

도 2에 도시된 바와 같이, 종단 통신 장치들(110, 150)의 정보는, 종단 통신 장치의 공인 IP 주소와 서브 ID를 포함한다. 도 2에서 서브 ID가 DevID1인 종단 통신 장치들(110)은 1.1.1.1 ~ 1.1.1.10의 공인 IP 주소 대역이 할당되고, 서브 ID가 DevID2인 종단 통신 장치(150)는 지정된 사설 IP 주소 대역 내에서 2.2.2.2의 공인 IP 주소가 할당된 것을 나타낸다. As shown in Figure 2, the information of the terminal communication devices (110, 150), includes the public IP address and sub-ID of the terminal communication device. In FIG. 2, the terminating communication devices 110 having a sub ID of DevID1 are allocated a public IP address band of 1.1.1.1 to 1.1.1.10, and the terminating communication device 150 having a sub ID of DevID2 are within the designated private IP address band. It indicates that the public IP address of 2.2.2.2 has been assigned.

종단 통신 연결 정책은, 상호 통신이 허용된 종단 통신 장치들(110, 150)의 ID 매핑 정보로서 서브 ID 기준으로 생성된다. 도 2의 예에서, {DevID1, MasterID1, MasterID2}는, 제 1 보안 모듈(120)에 연결된 종단 통신 장치들(110) 중 서브 ID가 DevID1이고 마스터 ID가 MasterID1인 서비스 그룹의 종단 통신 장치들은, 마스터 ID가 MasterID2인 종단 통신 장치(150)와 통신이 가능한 것을 나타낸다. {DevID2, MasterID2, MasterID1}은, 서브 ID가 DevID2이고 마스터 ID가 MasterID2인 종단 통신 장치(140)는, 마스터 ID가 MasterID1인 종단 통신 장치(150)와 통신이 가능한 것을 나타낸다. 상기 종단 통신 연결 정책은, 종단 통신 장치(110, 150)가 패킷을 외부로 전송하고, 또는 외부로부터 패킷을 수신할 때, 패킷 전송 또는 패킷 수신의 허용 여부를 확인하는데 사용된다. The end communication connection policy is generated based on a sub ID as ID mapping information of the end communication devices 110 and 150 that are allowed to communicate with each other. In the example of FIG. 2, {DevID1, MasterID1, MasterID2} is, among the end communication devices 110 connected to the first security module 120, the end communication devices of the service group in which the sub ID is DevID1 and the master ID is MasterID1, This indicates that communication is possible with the end communication device 150 whose master ID is MasterID2. {DevID2, MasterID2, MasterID1} indicates that the terminal communication device 140 whose sub ID is DevID2 and the master ID is MasterID2 can communicate with the terminal communication device 150 whose master ID is MasterID1. The end communication connection policy is used to determine whether to allow packet transmission or packet reception when the end communication devices 110 and 150 transmit a packet to the outside or receive a packet from the outside.

IP 주소 정보는, 마스터 ID를 기준으로 한 IP 주소 정보이다. 도 2에서 MasterID1의 마스터 ID에는 1.1.1.1 ~ 1.1.1.10의 공인 IP 주소 대역이 할당되고, MasterID2의 마스터 ID에는 2.2.2.2의 공인 IP 주소 대역이 할당된다. 상기 IP 주소 정보는, 종단 통신 장치(110, 150)가, 패킷을 외부로 전송하고, 또는 외부로부터 패킷을 수신할 때, 정책을 질의하기 전에, 외부로 전송하는 패킷의 목적지 IP 주소에 대응하는 마스터 ID를 확인하거나, 또는 외부로부터 수신하는 패킷의 출발지 IP 주소에 대응하는 마스터 ID를 확인하는데 사용된다.The IP address information is IP address information based on the master ID. In FIG. 2, a public IP address band of 1.1.1.1 to 1.1.1.10 is allocated to the master ID of MasterID1, and a public IP address band of 2.2.2.2 is allocated to the master ID of MasterID2. The IP address information corresponds to the destination IP address of the packet transmitted to the outside when the end communication device (110, 150) transmits a packet to the outside or receives a packet from the outside, before querying the policy. It is used to check the master ID or the master ID corresponding to the source IP address of the packet received from the outside.

도 3은 본 발명의 다른 실시예에 따른 정책 관리 장치에서 관리하는 정보를 나타낸 도면으로, 제 1 보안 모듈(120)이 NAT 하위에 설치될 때의 예이다. 본 실시예에서 제 1 보안 모듈(120)의 하위에 위치하는 특정 서비스 그룹에 속하는 종단 통신 장치들(110)은 서로 다른 서브 ID가 할당된다. 두 개의 종단 통신 장치(110)는 각각 DevID1, DevID3이 서브 ID로서 할당되고, 마스터 ID로서 MasterID1가 할당된다. 그리고 제 2 보안 모듈(140)의 하위에 위치하는 종단 통신 장치(150)는 서브 ID로 DevID2가 할당되고 마스터 ID로 MasterID2가 할당된다. 제 1 보안 모듈(120)이 NAT 하위에 설치되기 때문에, 제 1 보안 모듈(120)에서는 하위의 종단 통신 장치들(110)의 서로 다른 사설 IP 주소가 보이기 때문에, 정책 관리 장치(180)에서 해당 종단 통신 장치들(110)의 서브 ID가 서로 다르게 관리되는 것이다. 3 is a diagram showing information managed by a policy management device according to another embodiment of the present invention, and is an example when the first security module 120 is installed under a NAT. In this embodiment, the end communication devices 110 belonging to a specific service group located under the first security module 120 are assigned different sub IDs. In the two end communication devices 110, DevID1 and DevID3 are assigned as sub IDs, respectively, and MasterID1 is assigned as the master ID. In addition, in the end communication device 150 located below the second security module 140, DevID2 is assigned as a sub ID and MasterID2 is assigned as a master ID. Since the first security module 120 is installed under the NAT, the first security module 120 shows different private IP addresses of the lower end communication devices 110, so that the policy management device 180 The sub IDs of the end communication devices 110 are managed differently.

도 3에 도시된 바와 같이, 종단 통신 장치들(110, 150)의 정보는, 종단 통신 장치의 사설 IP 주소 또는 공인 IP 주소와 서브 ID를 포함한다. 도 3에서 서브 ID가 DevID1, DevID3인 종단 통신 장치들(110)은 각각 0.0.0.1, 0.0.0.2의 사설 IP 주소가 기록되고, 서브 ID가 DevID2인 종단 통신 장치(150)는 2.2.2.2의 공인 IP 주소가 기록된다. 제 1 보안 모듈(120)의 하위에 속하는 두 개의 종단 통신 장치(110)는 각각 서로 다른 서브 ID가 할당되므로, 도 3에 도시된 바와 같이, 총 3개의 종단 통신 연결 정책이 설정된다. IP 주소 정보는 마스터 ID를 기준으로 한 IP 주소 정보이다. 도 3에서 MasterID1의 마스터 ID에는 0.0.0.1 ~ 0.0.0.256의 사설 IP 주소 대역과 1.1.1.1 ~ 1.1.1.10의 공인 IP 주소 대역이 할당되고, MasterID2의 마스터 ID에는 2.2.2.2의 공인 IP 주소 대역이 할당된다.As shown in FIG. 3, the information of the end communication devices 110 and 150 includes a private IP address or a public IP address and a sub ID of the end communication device. In FIG. 3, the terminal communication devices 110 with sub IDs DevID1 and DevID3 record private IP addresses of 0.0.0.1 and 0.0.0.2, respectively, and the terminal communication device 150 with the sub ID DevID2 is 2.2.2.2. The public IP address is recorded. Since the two end communication devices 110 belonging to the lower level of the first security module 120 are assigned different sub IDs, respectively, as shown in FIG. 3, a total of three end communication connection policies are set. IP address information is IP address information based on the master ID. In Fig. 3, a private IP address band of 0.0.0.1 to 0.0.0.256 and a public IP address band of 1.1.1.1 to 1.1.1.10 are allocated to the master ID of MasterID1, and the public IP address band of 2.2.2.2 is allocated to the master ID of MasterID2. Is assigned.

도 4는 본 발명의 일 실시예에 따른 제 1 보안 모듈(120) 및 정책 관리 장치(180)의 블럭도로서, 제 1 보안 모듈(120)이 NAT의 상위에 설치되고, 제 1 보안 모듈(120)이 제 1 종단 통신 장치(110)로부터 제 2 종단 통신 장치(150)로 향하는 패킷을 수신할 때의 블록도이다. 도 4를 참조하면, 제1 보안 모듈(120)은 수신부(310), ID 확인부(320), 정책 조회부(340) 및 전송부(350)를 포함하고, 정책 관리 장치(180)는 IP 주소 관리부(370), 정책 관리부(380) 및 저장부(390)를 포함한다. 이들은 소프트웨어로 구현되어 메모리에 저장되어 프로세서에 의해 실행될 수 있다. 도 4를 참조한 실시예에서는 패킷의 흐름 순서대로 각 구성요소의 동작을 설명한다. 4 is a block diagram of a first security module 120 and a policy management device 180 according to an embodiment of the present invention, in which the first security module 120 is installed above the NAT, and the first security module ( 120) is a block diagram when receiving a packet destined for the second terminal communication device 150 from the first terminal communication device 110. 4, the first security module 120 includes a receiving unit 310, an ID verification unit 320, a policy inquiry unit 340, and a transmission unit 350, and the policy management device 180 is It includes an address management unit 370, a policy management unit 380, and a storage unit 390. These can be implemented in software, stored in memory, and executed by the processor. In the embodiment with reference to FIG. 4, the operation of each component is described in the order of packet flow.

단계 S301에서, 수신부(310)는, 제 1 종단 통신 장치(110)로부터 제 2 종단 통신 장치(150)로 향하는 패킷을 수신한다. 이 패킷에는 출발지(Src) IP 주소로서 제 1 종단 통신 장치(110)의 공인 IP 주소인 1.1.1.1이 설정되고, 목적지(Dst) IP 주소로서 외부에서 보이는 제 2 종단 통신 장치(150)의 공인 IP 주소인 2.2.2.2가 설정된다.In step S301, the receiving unit 310 receives a packet from the first terminal communication device 110 to the second terminal communication device 150. In this packet, 1.1.1.1, which is the public IP address of the first end communication device 110, is set as the source (Src) IP address, and the second end communication device 150 is authorized as the destination (Dst) IP address. The IP address 2.2.2.2 is set.

단계 S302에서, ID 확인부(320)는, 상기 수신부(310)에서 수신한 패킷에 포함된 목적지 IP 주소에 대응하는 마스터 ID를 확인하기 위해, 해당 목적지 IP 주소를 정책 관리 장치(180)로 전송하여 마스터 ID를 요청한다. 단계 S303에서, 정책 관리 장치(180)의 IP 주소 관리부(370)는, 저장부(390)에서 상기 목적지 IP 주소에 대응하는 마스터 ID를 조회하고 조회된 마스터 ID를 제 1 보안 모듈(120)의 상기 ID 확인부(320)로 응답한다. 정책 관리 장치(180)의 저장부(390)에는 도 2에 도시된 바와 같이 IP 주소 정보가 저장되어 있으므로, 상기 IP 주소 관리부(370)는 상기 목적지 IP 주소에 대응하는 마스터 ID를 조회할 수 있다. 도 2를 참조하면, 마스터 ID로서, MasterID2를 조회한다.In step S302, the ID verification unit 320, in order to check the master ID corresponding to the destination IP address included in the packet received by the receiving unit 310, transmits the corresponding destination IP address to the policy management device 180 To request a master ID. In step S303, the IP address management unit 370 of the policy management device 180 inquires the master ID corresponding to the destination IP address in the storage unit 390 and retrieves the inquired master ID from the first security module 120. It responds to the ID verification unit 320. Since IP address information is stored in the storage unit 390 of the policy management device 180 as shown in FIG. 2, the IP address management unit 370 can query the master ID corresponding to the destination IP address. . 2, as the master ID, MasterID2 is inquired.

단계 S304에서, ID 확인부(320)는, 저장부(330)에서 제 1 종단 통신 장치(110)의 서브 ID 및 마스터 ID를 확인한다. 저장부(330)에는 종단 통신 장치들(110)의 ID 및 공인 IP 주소의 매핑 정보가 저장되어 있으므로, ID 확인부(320)는 패킷의 출발지 IP 주소, 즉 제 1 종단 통신 장치(110)의 공인 IP 주소를 이용하여 저장부(330)에서 제 1 종단 통신 장치(110)의 서브 ID 및 마스터 ID를 확인한다. 본 실시예에서, 제 1 종단 통신 장치(110)의 서브 ID는 DevID1이고, 마스터 ID는 MasterID1이다.In step S304, the ID verification unit 320 checks the sub ID and the master ID of the first end communication device 110 in the storage unit 330. Since the storage unit 330 stores the mapping information of the IDs and public IP addresses of the end communication devices 110, the ID verification unit 320 is the source IP address of the packet, that is, the first end communication device 110 Using the public IP address, the storage unit 330 checks the sub ID and master ID of the first end communication device 110. In this embodiment, the sub ID of the first end communication device 110 is DevID1, and the master ID is MasterID1.

단계 S305에서, 정책 조회부(340)는, 패킷을 목적지 IP 주소로 전송해도 되는지를 확인하기 위해, 정책 관리 장치(180)로 정책을 질의한다. 정책 조회부(340)는, 상기 ID 확인부(320)에서 확인한 제 1 종단 통신 장치(110)의 서브 ID/마스터 ID(DevID1, MasterID1) 그리고 제 2 종단 통신 장치(150)의 마스터 ID(MasterID2)를 정책 관리 장치(180)로 전송하여 정책을 질의한다. In step S305, the policy inquiry unit 340 queries the policy management device 180 for a policy in order to check whether the packet can be transmitted to the destination IP address. The policy inquiry unit 340 includes a sub ID/master ID (DevID1, MasterID1) of the first end communication device 110 checked by the ID verification unit 320 and a master ID (MasterID2) of the second end communication device 150. ) To the policy management device 180 to query the policy.

단계 S306에서, 정책 관리 장치(180)의 정책 관리부(380)는 상기 정책 조회부(340)의 정책 질의에 따라 상기 ID들을 이용하여 저장부(390)에서 정책을 확인한다. 저장부(390)에는 도 2에 도시된 정책 정보를 저장한다. 저장부(390)에는 {DevID1, MasterID1, MasterID2}의 정책 정보를 저장하고 있으므로, 정책 관리부(380)는, 단계 S307에서, 제 1 보안 모듈(120)의 정책 조회부(340)로 승인(Allow) 응답을 전송한다. 이때, 정책 관리부(380)는, 승인 응답에 토큰 시드를 포함하여 전송한다. In step S306, the policy management unit 380 of the policy management device 180 checks the policy in the storage unit 390 using the IDs according to the policy query of the policy inquiry unit 340. The storage unit 390 stores the policy information shown in FIG. 2. Since the storage unit 390 stores the policy information of {DevID1, MasterID1, MasterID2}, the policy management unit 380, in step S307, approves the policy inquiry unit 340 of the first security module 120 (Allow ) Send the response. At this time, the policy management unit 380 transmits the approval response including the token seed.

제 1 보안 모듈(120)의 정책 조회부(340)는, 정책 관리 장치(180)로부터 수신된 승인 응답에 포함된 토큰 시드를 이용하여 토큰을 생성한다. 보다 구체적으로, 정책 조회부(340)는, 토큰의 재사용 방지를 위한 랜덤 값인 넌스(Nonce)와 타임스탬프(Timestamp)를 생성한 후, 다음과 같이 토큰을 생성한다.The policy inquiry unit 340 of the first security module 120 generates a token by using a token seed included in the approval response received from the policy management device 180. More specifically, the policy inquiry unit 340 generates a nonce and a timestamp, which are random values for preventing reuse of a token, and then generates a token as follows.

토큰(Token) = sign(hmac(seed xor Nonce, Payload)∥Nonce∥Timestamp∥ID)Token = sign(hmac(seed xor Nonce, Payload)∥Nonce∥Timestamp∥ID)

여기서 hmac(seed xor Nonce, Payload)는 패킷의 페이로드를 해시한 값을 토큰 시드(seed)와 Nonce를 xor한 값으로 암호화한 것을 의미하며, '∥'는 평문으로 이어붙이기를 의미한다. 그리고 ID는 제 1 종단 통신 장치(110)의 서브 ID이고, sign은 제 1 보안 모듈(120)의 개인키로 서명하는 것을 의미한다. Here, hmac (seed xor Nonce, Payload) means that the value obtained by hashing the payload of the packet is encrypted with the value of the token seed and the nonce xor, and'∥' means concatenating it into a plain text. And ID is a sub-ID of the first terminal communication device 110, sign means signing with the private key of the first security module 120.

전송부(350)는, 상기 정책 조회부(340)에서 생성된 토큰을 패킷에 삽입하여 통신망을 통해 제 2 종단 통신 장치(150) 측으로 전송한다.The transmission unit 350 inserts the token generated by the policy inquiry unit 340 into a packet and transmits it to the second end communication device 150 through a communication network.

한편, 도 4를 참조한 실시예에서, 제 2 종단 통신 장치(150)로부터 제 1 종단 통신 장치(110)로 패킷이 전송될 경우, 제 1 보안 모듈(120)의 ID 확인부(320)는, 출발지 IP 주소를 이용하여 정책 관리 장치(180)로부터 대응하는 마스터 ID, 즉 제 2 종단 통신 장치(150)의 마스터 ID를 확인하고, 저장부(330)로부터 목적지 IP 주소에 대응하는 서브 ID 및 마스터 ID, 즉 제 1 종단 통신 장치(110)의 서브 ID 및 마스터 ID를 확인한다. 그리고 정책 조회부(340)는 이 ID들을 이용하여 정책 관리 장치(180)에서 정책을 조회하여 승인 응답을 수신하고, 전송부(350)는 패킷을 제 1 종단 통신 장치(110) 측으로 전송한다. 토큰 검증은 앞서 설명한 바와 같이 동일하게 수행한다.On the other hand, in the embodiment with reference to Figure 4, when a packet is transmitted from the second end communication device 150 to the first end communication device 110, the ID verification unit 320 of the first security module 120, Check the corresponding master ID from the policy management device 180, that is, the master ID of the second end communication device 150 using the source IP address, and the sub ID and master corresponding to the destination IP address from the storage unit 330 ID, that is, the sub ID and the master ID of the first end communication device 110 are checked. Further, the policy inquiry unit 340 retrieves the policy from the policy management device 180 using these IDs and receives an approval response, and the transmission unit 350 transmits the packet to the first end communication device 110. Token verification is performed in the same manner as described above.

도 5는 본 발명의 다른 실시예에 따른 제 2 보안 모듈(140) 및 정책 관리 장치(180)의 블럭도로, 도 4의 제 1 보안 모듈(120)에서 전송된 패킷을 수신하여 처리할 때의 블럭도이다. 도 4를 참조하면, 제 2 보안 모듈(140)은 수신부(410), ID 확인부(420), 정책 조회부(440) 및 전송부(450)를 포함한다. 정책 관리 장치(180)는, 도 3을 참조하여 설명한 구성요소를 동일하게 포함한다. 이들은 소프트웨어로 구현되어 메모리에 저장되어 프로세서에 의해 실행될 수 있다. 도 5를 참조한 실시예에서는 패킷의 흐름 순서대로 각 구성요소의 동작을 설명한다. 5 is a block diagram of a second security module 140 and a policy management device 180 according to another embodiment of the present invention, when a packet transmitted from the first security module 120 of FIG. 4 is received and processed. It is a block diagram. Referring to FIG. 4, the second security module 140 includes a receiving unit 410, an ID verification unit 420, a policy inquiry unit 440, and a transmission unit 450. The policy management device 180 includes the same components described with reference to FIG. 3. These can be implemented in software, stored in memory, and executed by the processor. In the embodiment with reference to FIG. 5, the operation of each component in the order of packet flow is described.

단계 S401에서, 수신부(410)는, 제 2 종단 통신 장치(150)로 향하는 패킷을 수신한다. 이 패킷에는 출발지(Src) IP 주소로서 제 1 종단 통신 장치(110)의 공인 IP 주소인 1.1.1.1이 설정되고, 목적지(Dst) IP 주소로서 제 2 종단 통신 장치(150)의 공인 IP 주소인 2.2.2.2가 설정되어 있다. In step S401, the receiving unit 410 receives a packet destined for the second terminal communication device 150. In this packet, 1.1.1.1, which is the public IP address of the first end communication device 110, is set as the source (Src) IP address, and is the public IP address of the second end communication device 150 as the destination (Dst) IP address. 2.2.2.2 is set.

단계 S402에서, ID 확인부(420)는, 상기 수신부(410)에서 수신한 패킷에 포함된 출발지 IP 주소에 대응하는 마스터 ID를 확인하기 위해, 해당 출발지 IP 주소를 정책 관리 장치(180)로 전송하여 마스터 ID를 요청한다. 단계 S403에서, 정책 관리 장치(180)의 IP 주소 관리부(370)는, 저장부(390)에서 상기 출발지 IP 주소에 대응하는 마스터 ID를 조회하고 조회된 마스터 ID를 제 2 보안 모듈(140)의 상기 ID 확인부(420)로 응답한다. 정책 관리 장치(180)의 저장부(390)에는 도 2에 도시된 바와 같이 IP 주소 정보가 저장되어 있으므로, 상기 IP 주소 관리부(370)는 상기 출발지 IP 주소 1.1.1.1에 대응하는 마스터 ID로서 MasterID1를 조회할 수 있다. In step S402, the ID verification unit 420, in order to check the master ID corresponding to the source IP address included in the packet received by the receiving unit 410, transmits the corresponding source IP address to the policy management device 180 To request a master ID. In step S403, the IP address management unit 370 of the policy management device 180 inquires the master ID corresponding to the source IP address in the storage unit 390, and uses the inquired master ID of the second security module 140. It responds to the ID verification unit 420. Since IP address information is stored in the storage unit 390 of the policy management device 180 as shown in FIG. 2, the IP address management unit 370 serves as a master ID corresponding to the source IP address 1.1.1.1. You can inquire.

단계 S404에서, ID 확인부(420)는, 저장부(430)에서 제 2 종단 통신 장치(150)의 서브 ID 및 마스터 ID를 확인한다. 저장부(430)에는 ID 및 공인 IP 주소의 매핑 정보를 저장하고, ID 확인부(420)는 제 2 종단 통신 장치(150)의 공인 IP 주소를 이용하여 저장부(430)에서 제 2 종단 통신 장치(150)의 서브 ID 및 마스터 ID를 확인한다. 본 실시예에서, 제 2 종단 통신 장치(150)의 서브 ID는 DevID2이고, 마스터 ID는 MasterID2이다.In step S404, the ID verification unit 420 checks the sub ID and the master ID of the second end communication device 150 in the storage unit 430. The storage unit 430 stores mapping information of the ID and public IP address, and the ID verification unit 420 uses the public IP address of the second end communication device 150 to communicate the second end in the storage unit 430 Check the sub ID and master ID of the device 150. In this embodiment, the sub ID of the second end communication device 150 is DevID2, and the master ID is MasterID2.

단계 S405에서, 정책 조회부(440)는, 패킷을 목적지 IP 주소, 즉 제 2 종단 통신 장치(150)로 전송해도 되는지를 확인하기 위해, 정책 관리 장치(180)로 정책을 질의한다. 정책 조회부(440)는, 상기 ID 확인부(420)에서 확인한 제 2 종단 통신 장치(150)의 서브 ID/마스터 ID(DevID2, MasterID2) 그리고 제 1 종단 통신 장치(110)의 마스터 ID(MasterID1)를 정책 관리 장치(180)로 전송하여 정책을 질의한다. In step S405, the policy inquiry unit 440 queries the policy management device 180 for a policy in order to check whether the packet can be transmitted to the destination IP address, that is, the second end communication device 150. The policy inquiry unit 440 includes a sub ID/master ID (DevID2, MasterID2) of the second end communication device 150 checked by the ID verification unit 420 and a master ID (MasterID1) of the first end communication device 110. ) To the policy management device 180 to query the policy.

단계 S406에서, 정책 관리 장치(180)의 정책 관리부(380)는 상기 정책 조회부(440)의 정책 질의에 따라 상기 ID들을 이용하여 저장부(390)에서 정책을 확인한다. 저장부(390)에는 도 2에 도시된 정책 정보를 저장한다. 저장부(390)에는 {DevID2, MasterID2, MasterID1}의 정책 정보를 저장하고 있으므로, 정책 관리부(380)는, 단계 S407에서, 제 2 보안 모듈(140)의 정책 조회부(440)로 승인(Allow) 응답을 전송한다. In step S406, the policy management unit 380 of the policy management device 180 checks the policy in the storage unit 390 using the IDs according to the policy query of the policy inquiry unit 440. The storage unit 390 stores the policy information shown in FIG. 2. Since the storage unit 390 stores the policy information of {DevID2, MasterID2, MasterID1}, the policy management unit 380 is approved by the policy inquiry unit 440 of the second security module 140 in step S407 (Allow ) Send the response.

바람직하게, 제 2 보안 모듈(140)의 정책 조회부(440)는, 상기 수신된 패킷에 삽입되어 있는 토큰에서 평문으로 삽입되어 있는 제 1 종단 통신 장치(110)의 서브 ID(즉, DevID1)를 추출하고, 그 서브 ID, 그리고 상기 ID 확인부(420)에서 확인한 제 1 종단 통신 장치(110)의 마스터 ID(즉, MasterID1) 및 제 2 종단 통신 장치(140)의 마스터 ID(즉, MasterID2)를 함께 정책 관리 장치(180)로 전송하여 송신측에서 사용한 토큰 시드를 요청하여 수신한다. 정책 조회부(440)는, 동시에 정책 관리 장치(180)로부터 제 1 보안 모듈(120)의 공개키를 함께 수신한다. 정책 조회부(440)는, 패킷에 삽입되어 있는 토큰에 평문으로 삽입되어 있는 넌스(Nonce), 타임스탬프(Timestamp) 그리고 제 1 종단 통신 장치(110)의 서브 ID와, 상기 수신된 토큰 시드를 이용하여 토큰을 생성하여 상기 패킷에 삽입되어 있는 토큰과 동일하는지 확인한다. 또한 정책 조회부(440)는 상기 수신된 제 1 보안 모듈(120)의 공개키로 토큰의 서명을 검증할 수 있다. 토큰 검증 실패시에 패킷을 폐기한다. Preferably, the policy inquiry unit 440 of the second security module 140 is a sub ID of the first end communication device 110 inserted in plaintext in the token inserted in the received packet (ie, DevID1) And the sub ID, and the master ID of the first end communication device 110 (ie, MasterID1) and the master ID (ie, MasterID2) of the second end communication device 140 checked by the ID verification unit 420 ) Is transmitted to the policy management device 180 to request and receive a token seed used by the transmitting side. The policy inquiry unit 440 simultaneously receives the public key of the first security module 120 from the policy management device 180. The policy inquiry unit 440 includes a nonce, a timestamp inserted in plain text in a token inserted in a packet, a sub ID of the first end communication device 110, and the received token seed. It generates a token using the same and checks whether it is the same as the token inserted in the packet. In addition, the policy inquiry unit 440 may verify the signature of the token with the received public key of the first security module 120. If token verification fails, the packet is discarded.

전송부(450)는 토큰 검증에 성공한 상기 패킷에서 토큰을 제거하여 제 2 종단 통신 장치(150)로 전송한다. The transmission unit 450 removes the token from the packet in which token verification is successful, and transmits it to the second end communication device 150.

한편, 도 5를 참조한 실시예에서, 제 2 종단 통신 장치(150)로부터 제 1 종단 통신 장치(110)로 패킷이 전송될 경우, 제 2 보안 모듈(140)의 ID 확인부(420)는, 목적지 IP 주소를 이용하여 정책 관리 장치(180)로부터 대응하는 마스터 ID, 즉 제 1 종단 통신 장치(110)의 마스터 ID를 확인하고, 저장부(430)로부터 출발지 IP 주소에 대응하는 서브 ID 및 마스터 ID, 즉 제 2 종단 통신 장치(150)의 서브 ID 및 마스터 ID를 확인한다. 정책 조회부(440)는 이 ID들을 이용하여 정책 관리 장치(180)에서 정책을 조회하여 승인 응답을 수신하고, 전송부(450)는 패킷을 제 1 종단 통신 장치(110) 측으로 전송한다. 토큰 검증은 마찬가지로 수행된다. On the other hand, in the embodiment with reference to Figure 5, when a packet is transmitted from the second end communication device 150 to the first end communication device 110, the ID verification unit 420 of the second security module 140, Check the corresponding master ID from the policy management device 180, that is, the master ID of the first end communication device 110 using the destination IP address, and the sub ID and master corresponding to the source IP address from the storage unit 430 ID, that is, the sub ID and the master ID of the second end communication device 150 are checked. The policy inquiry unit 440 retrieves the policy from the policy management device 180 using these IDs and receives an approval response, and the transmission unit 450 transmits the packet to the first end communication device 110. Token verification is performed as well.

이상의 도 4 및 도 5에서 제 1, 2 보안 모듈(120, 140)을 구분하여 설명하였으나 도 4 및 도 5에서 설명한 기능들은 하나의 보안 모듈에 모두 포함되는 것으로 이해하여야 한다.Although the first and second security modules 120 and 140 have been separately described in FIGS. 4 and 5, it should be understood that the functions described in FIGS. 4 and 5 are all included in one security module.

도 6은 본 발명의 또 다른 실시예에 따른 제 1 보안 모듈(120) 및 정책 관리 장치(180)의 블럭도로서, 제 1 보안 모듈(120)이 NAT의 하위에 설치되고, 제 1 보안 모듈(120)이 제 1 종단 통신 장치(110)로부터 제 2 종단 통신 장치(150)로 향하는 패킷을 수신할 때의 블록도이다. 도 6을 참조하면, 제1 보안 모듈(120)은 수신부(610), ID 확인부(620), 정책 조회부(640) 및 전송부(650)를 포함하고, 정책 관리 장치(180)는 IP 주소 관리부(670), 정책 관리부(680) 및 저장부(690)를 포함한다. 이들은 소프트웨어로 구현되어 메모리에 저장되어 프로세서에 의해 실행될 수 있다. 도 6을 참조한 실시예에서는 패킷의 흐름 순서대로 각 구성요소의 동작을 설명한다. 6 is a block diagram of a first security module 120 and a policy management device 180 according to another embodiment of the present invention, in which the first security module 120 is installed under the NAT, and the first security module It is a block diagram when 120 receives a packet destined for the second terminal communication device 150 from the first terminal communication device 110. 6, the first security module 120 includes a receiving unit 610, an ID verification unit 620, a policy inquiry unit 640, and a transmission unit 650, and the policy management device 180 is It includes an address management unit 670, a policy management unit 680, and a storage unit 690. These can be implemented in software, stored in memory, and executed by the processor. In the embodiment with reference to FIG. 6, the operation of each component in the order of packet flow is described.

단계 S601에서, 수신부(610)는, 제 1 종단 통신 장치(110)로부터 제 2 종단 통신 장치(150)로 향하는 패킷을 수신한다. 이 패킷에는 출발지(Src) IP 주소로서 제 1 종단 통신 장치(110)의 사설 IP 주소인 0.0.0.1이 설정되고, 목적지(Dst) IP 주소로서 외부에서 보이는 제 2 종단 통신 장치(150)의 공인 IP 주소인 2.2.2.2가 설정된다.In step S601, the receiving unit 610 receives a packet from the first terminal communication device 110 to the second terminal communication device 150. In this packet, 0.0.0.1, which is the private IP address of the first end communication device 110, is set as the source (Src) IP address, and the second end communication device 150 is authorized as the destination (Dst) IP address. The IP address 2.2.2.2 is set.

단계 S602에서, ID 확인부(620)는, 상기 수신부(610)에서 수신한 패킷에 포함된 목적지 IP 주소에 대응하는 마스터 ID를 확인하기 위해, 해당 목적지 IP 주소를 정책 관리 장치(180)로 전송하여 마스터 ID를 요청한다. 단계 S603에서, 정책 관리 장치(180)의 IP 주소 관리부(670)는, 저장부(690)에서 상기 목적지 IP 주소에 대응하는 마스터 ID를 조회하고 조회된 마스터 ID를 제 1 보안 모듈(120)의 상기 ID 확인부(620)로 응답한다. 정책 관리 장치(180)의 저장부(690)에는 도 3에 도시된 바와 같이 IP 주소 정보가 저장되어 있으므로, 상기 IP 주소 관리부(670)는 상기 목적지 IP 주소에 대응하는 마스터 ID를 조회할 수 있다. 도 3을 참조하면, 마스터 ID로서, MasterID2를 조회한다.In step S602, the ID verification unit 620 transmits the destination IP address to the policy management device 180 in order to verify the master ID corresponding to the destination IP address included in the packet received by the receiving unit 610 To request a master ID. In step S603, the IP address management unit 670 of the policy management device 180 inquires the master ID corresponding to the destination IP address in the storage unit 690 and retrieves the inquired master ID from the first security module 120. It responds to the ID verification unit 620. Since IP address information is stored in the storage unit 690 of the policy management device 180 as shown in FIG. 3, the IP address management unit 670 can query the master ID corresponding to the destination IP address. . 3, as the master ID, MasterID2 is inquired.

단계 S604에서, ID 확인부(620)는, 저장부(630)에서 제 1 종단 통신 장치(110)의 서브 ID 및 마스터 ID를 확인한다. 저장부(630)에는 종단 통신 장치들(110)의 ID 및 사설 IP 주소의 매핑 정보가 저장되어 있으므로, ID 확인부(620)는 패킷의 출발지 IP 주소, 즉 제 1 종단 통신 장치(110)의 사설 IP 주소를 이용하여 저장부(630)에서 제 1 종단 통신 장치(110)의 서브 ID 및 마스터 ID를 확인한다. 본 실시예에서, 제 1 종단 통신 장치(110)의 서브 ID는 DevID1이고, 마스터 ID는 MasterID1이다.In step S604, the ID verification unit 620 checks the sub ID and the master ID of the first end communication device 110 in the storage unit 630. Since the storage unit 630 stores the mapping information of the IDs and private IP addresses of the end communication devices 110, the ID verification unit 620 is the source IP address of the packet, that is, the first end communication device 110 Using the private IP address, the storage unit 630 checks the sub ID and master ID of the first end communication device 110. In this embodiment, the sub ID of the first end communication device 110 is DevID1, and the master ID is MasterID1.

단계 S605에서, 정책 조회부(640)는, 패킷을 목적지 IP 주소로 전송해도 되는지를 확인하기 위해, 정책 관리 장치(180)로 정책을 질의한다. 정책 조회부(640)는, 상기 ID 확인부(620)에서 확인한 제 1 종단 통신 장치(110)의 서브 ID/마스터 ID(DevID1, MasterID1) 그리고 제 2 종단 통신 장치(150)의 마스터 ID(MasterID2)를 정책 관리 장치(180)로 전송하여 정책을 질의한다. In step S605, the policy inquiry unit 640 queries the policy management device 180 for a policy in order to check whether the packet can be transmitted to the destination IP address. The policy inquiry unit 640 includes a sub ID/master ID (DevID1, MasterID1) of the first end communication device 110 checked by the ID verification unit 620 and a master ID (MasterID2) of the second end communication device 150. ) To the policy management device 180 to query the policy.

단계 S606에서, 정책 관리 장치(180)의 정책 관리부(680)는 상기 정책 조회부(640)의 정책 질의에 따라 상기 ID들을 이용하여 저장부(690)에서 정책을 확인한다. 저장부(690)에는 도 3에 도시된 정책 정보를 저장한다. 저장부(690)에는 {DevID1, MasterID1, MasterID2}의 정책 정보를 저장하고 있으므로, 정책 관리부(680)는, 단계 S607에서, 제 1 보안 모듈(120)의 정책 조회부(640)로 승인(Allow) 응답을 전송한다. 이때, 정책 관리부(680)는, 승인 응답에 토큰 시드를 포함하여 전송한다. In step S606, the policy management unit 680 of the policy management device 180 checks the policy in the storage unit 690 using the IDs according to the policy query of the policy inquiry unit 640. The storage unit 690 stores the policy information shown in FIG. 3. Since the storage unit 690 stores the policy information of {DevID1, MasterID1, MasterID2}, the policy management unit 680, in step S607, approves the policy inquiry unit 640 of the first security module 120 (Allow ) Send the response. At this time, the policy management unit 680 transmits the approval response including the token seed.

제 1 보안 모듈(120)의 정책 조회부(640)는, 정책 관리 장치(180)로부터 수신된 승인 응답에 포함된 토큰 시드를 이용하여 토큰을 생성한다. 보다 구체적으로, 정책 조회부(640)는, 토큰의 재사용 방지를 위한 랜덤 값인 넌스(Nonce)와 타임스탬프(Timestamp)를 생성한 후, 다음과 같이 토큰을 생성한다.The policy inquiry unit 640 of the first security module 120 generates a token by using a token seed included in the approval response received from the policy management device 180. More specifically, the policy inquiry unit 640 generates a nonce and a timestamp, which are random values for preventing reuse of a token, and then generates a token as follows.

토큰(Token) = sign(hmac(seed xor Nonce, Payload)∥Nonce∥Timestamp∥ID)Token = sign(hmac(seed xor Nonce, Payload)∥Nonce∥Timestamp∥ID)

여기서 hmac(seed xor Nonce, Payload)는 패킷의 페이로드를 해시한 값을 토큰 시드(seed)와 Nonce를 xor한 값으로 암호화한 것을 의미하며, '∥'는 평문으로 이어붙이기를 의미한다. 그리고 ID는 제 1 종단 통신 장치(110)의 서브 ID이고, sign은 제 1 보안 모듈(120)의 개인키로 서명하는 것을 의미한다. Here, hmac (seed xor Nonce, Payload) means that the value obtained by hashing the payload of the packet is encrypted with the value of the token seed and the nonce xor, and'∥' means concatenating it into a plain text. And ID is a sub-ID of the first terminal communication device 110, sign means signing with the private key of the first security module 120.

전송부(650)는, 상기 정책 조회부(640)에서 생성된 토큰을 패킷에 삽입하여 통신망을 통해 제 2 종단 통신 장치(150) 측으로 전송한다.The transmission unit 650 inserts the token generated by the policy inquiry unit 640 into a packet and transmits it to the second end communication device 150 through a communication network.

한편, 상기 전송부(650)에서 전송된 패킷은 NAT를 통과하면서 출발지 IP 주소가 사설 IP 주소에서 공인 IP 주소로 변경된다. 따라서, 제 2 보안 모듈(140)로 수신되는 패킷의 출발지 주소는 공인 IP 주소가 기록되어 있으므로, 제 2 보안 모듈(140)에서 패킷을 처리하는 구성은 도 5를 참조하여 설명한 실시예와 동일하다.Meanwhile, as the packet transmitted from the transmission unit 650 passes through the NAT, the source IP address is changed from a private IP address to a public IP address. Therefore, since the source address of the packet received by the second security module 140 has a public IP address recorded, the configuration for processing the packet in the second security module 140 is the same as the embodiment described with reference to FIG. 5. .

한편, 도 6을 참조한 실시예에서, 제 2 종단 통신 장치(150)로부터 제 1 종단 통신 장치(110)로 패킷이 전송될 경우, 제 1 보안 모듈(120)의 ID 확인부(620)는, 출발지 IP 주소를 이용하여 정책 관리 장치(180)로부터 대응하는 마스터 ID, 즉 제 2 종단 통신 장치(150)의 마스터 ID를 확인하고, 저장부(630)로부터 목적지 IP 주소에 대응하는 서브 ID 및 마스터 ID, 즉 제 1 종단 통신 장치(110)의 서브 ID 및 마스터 ID를 확인한다. 그리고 정책 조회부(640)는 이 ID들을 이용하여 정책 관리 장치(180)에서 정책을 조회하여 승인 응답을 수신하고, 전송부(650)는 패킷을 제 1 종단 통신 장치(110) 측으로 전송한다. 토큰 검증은 앞서 설명한 바와 같이 동일하게 수행한다.On the other hand, in the embodiment with reference to Figure 6, when a packet is transmitted from the second end communication device 150 to the first end communication device 110, the ID verification unit 620 of the first security module 120, Check the corresponding master ID from the policy management device 180, that is, the master ID of the second end communication device 150 using the source IP address, and the sub ID and master corresponding to the destination IP address from the storage unit 630 ID, that is, the sub ID and the master ID of the first end communication device 110 are checked. Further, the policy inquiry unit 640 retrieves the policy from the policy management device 180 using these IDs and receives an approval response, and the transmission unit 650 transmits the packet to the first end communication device 110. Token verification is performed in the same manner as described above.

보안 모듈(120, 140) 간에 통신시 UDP(User Datagrm Protocol) 세션이 유지되어야 한다. 보안 모듈(120, 140) 사이에 위치한 NAT에서는 보안 모듈(120, 140) 간에 일정한 시간 동안 패킷 송수신이 없으면 UDP 세션을 드롭시킨다. 따라서, 보안 모듈(120, 140)은 UDP 세션을 유지시킬 수 있는 방안이 필요하고, 보안 모듈(120, 140)은 UDP 세션을 유지하기 위한 세션 유지 패킷을 주기적으로 송수신한다. 도 7은 본 발명의 일 실시예에 따른 세션 유지 방법을 설명하는 도면으로, 도 7을 참조하면, 제 1 보안 모듈(120)은 세션 유지를 위한 패킷임을 나타내는 헤더(GS header)를 포함하는 세션 유지 패킷을 주기적으로 제 2 보안 모듈(140)로 전송한다. 상기 헤더에는 해당 패킷이 세션 유지를 위한 패킷임을 나타내는 플래그를 포함하고 또한 토큰을 포함한다. 토큰은 앞서 설명한 실시예와 마찬가지로 정책 관리 장치(180)로부터 수신하여 삽입되고 검증된다. 제 2 보안 모듈(140)은 패킷 수신시 상기 헤더 그리고 상기 헤더에 세션 유지를 나타내는 플래그가 포함되어 있는지 확인하고 포함되어 있으면 해당 패킷을 바로 삭제한다. 이를 위해 보안 모듈(120, 140)은 상기와 같은 패킷을 생성하고 수신하며 삭제하는 세선 유지부를 포함한다. 상기 세션 유지 패킷은 두 개의 보안 모듈(120, 140) 중 어느 한쪽에서 주기적으로 전송할 수 있고, 또는 서로 번갈아가며 주기적으로 전송될 수 있다. When communicating between the security modules 120 and 140, a User Datagrm Protocol (UDP) session must be maintained. In the NAT located between the security modules 120 and 140, if there is no packet transmission/reception between the security modules 120 and 140 for a certain period of time, the UDP session is dropped. Accordingly, the security modules 120 and 140 need a method for maintaining the UDP session, and the security modules 120 and 140 periodically transmit and receive a session maintenance packet for maintaining the UDP session. FIG. 7 is a diagram illustrating a session maintenance method according to an embodiment of the present invention. Referring to FIG. 7, a first security module 120 is a session including a header (GS header) indicating a packet for session maintenance. The maintenance packet is periodically transmitted to the second security module 140. The header includes a flag indicating that the packet is a packet for session maintenance and also includes a token. Similar to the above-described embodiment, the token is received from the policy management device 180, inserted, and verified. When receiving a packet, the second security module 140 checks whether a flag indicating session maintenance is included in the header and in the header, and if so, immediately deletes the packet. To this end, the security modules 120 and 140 include a thin line maintenance unit that generates, receives, and deletes such packets. The session maintenance packet may be periodically transmitted by either one of the two security modules 120 and 140, or may be periodically transmitted alternately with each other.

본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.While this specification includes many features, such features should not be construed as limiting the scope or claims of the invention. In addition, features described in separate embodiments herein may be combined and implemented in a single embodiment. Conversely, various features described in a single embodiment in the present specification may be individually implemented in various embodiments, or may be properly combined and implemented.

도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.Although the operations have been described in a specific order in the drawings, it should not be understood that such operations are performed in a specific order as shown, or as a series of consecutive sequences, or that all described operations are performed to obtain a desired result. . Multitasking and parallel processing can be advantageous in certain environments. In addition, it should be understood that classification of various system components in the above-described embodiments does not require such classification in all embodiments. The above-described program components and systems may generally be implemented as a package in a single software product or multiple software products.

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.The method of the present invention as described above may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a form that can be read by a computer. This process can be easily performed by a person of ordinary skill in the art to which the present invention pertains, and thus will not be described in detail.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above, for those of ordinary skill in the art to which the present invention pertains, various substitutions, modifications and changes are possible within the scope of the technical spirit of the present invention. It is not limited by the drawings.

110, 150 : 종단 통신 장치
120, 140 : 보안 모듈
180 : 정책 관리 장치
310, 410, 610 : 수신부
320, 420, 620 : ID 확인부
330, 430, 630 : 저장부
340, 440, 640 : 정책 조회부
350, 450, 650 : 전송부
370, 670 : IP 주소 관리부
380, 680 : 정책 관리부
390, 690 : 저장부110, 150: terminating communication device
120, 140: security module
180: policy management device
310, 410, 610: receiver
320, 420, 620: ID verification unit
330, 430, 630: storage
340, 440, 640: Policy inquiry unit
350, 450, 650: transmission unit
370, 670: IP address management unit
380, 680: Policy Management Department
390, 690: storage

Claims (16)

정책 관리 장치와 연동하여 제 1 종단 통신 장치 및 제 2 종단 통신 장치 간 통신에 보안을 제공하는 보안 장치에 있어서,
IP 주소와, 서브 ID 및 마스터 ID의 매핑 정보를 저장하는 저장부;
상기 제 1 종단 통신 장치로부터, 상기 제 2 종단 통신 장치로 향하는 제 1 패킷을 수신하는 수신부;
상기 제 1 패킷의 목적지 IP 주소를 상기 정책 관리 장치로 전송하여 이에 대응하는 마스터 ID를 수신하며, 상기 제 1 패킷의 출발지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 저장부에서 확인하는 ID 확인부;
상기 목적지 IP 주소에 대응하는 마스터 ID와, 상기 출발지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 정책 관리 장치로 전송하여 정책을 질의하고 승인 응답을 수신하는 정책 조회부;
상기 승인 응답의 수신에 따라 상기 제 1 패킷을 상기 제 2 종단 통신 장치 측으로 전송하는 전송부; 및
세션 유지 패킷을 생성하여 상기 제 2 종단 통신 장치 측으로 전송하는 세션 유지부를 포함하는 보안 장치.In a security device that provides security for communication between a first end communication device and a second end communication device by interworking with a policy management device,
A storage unit for storing mapping information of an IP address and a sub ID and a master ID;
A receiver configured to receive a first packet destined for the second end communication device from the first end communication device;
ID confirmation that transmits the destination IP address of the first packet to the policy management device to receive a master ID corresponding thereto, and checks the sub ID and master ID corresponding to the source IP address of the first packet in the storage unit part;
A policy inquiry unit for querying a policy and receiving an approval response by transmitting a master ID corresponding to the destination IP address, a sub ID and a master ID corresponding to the source IP address to the policy management device;
A transmission unit for transmitting the first packet to the second end communication device according to reception of the acknowledgment response; And
A security device comprising a session maintenance unit for generating a session maintenance packet and transmitting it to the second end communication device. 제 1 항에 있어서,
상기 세션 유지부는,
상기 제 2 종단 통신 장치 측에서 상기 세션 유지 패킷을 세션 유지를 위한 패킷으로 판단하고 삭제하도록 상기 세션 유지 패킷의 헤더에 특정 플래그를 포함시키는 것을 특징으로 하는 보안 장치.The method of claim 1,
The session maintenance unit,
And including a specific flag in a header of the session maintenance packet so that the second end communication device determines the session maintenance packet as a packet for session maintenance and deletes it. 제 1 항에 있어서,
복수의 상기 제 1 종단 통신 장치들이 하나의 서비스 그룹에 속하고,
하나의 상기 마스터 ID가, 공인 IP 주소가 할당되는 상기 서비스 그룹에 할당되며,
상기 복수의 제 1 종단 통신 장치 각각에 서로 다른 상기 서브 ID가 할당되고,
상기 보안 장치는, 이동통신 코어망에서 통신 계층상 NAT(Network Address Translation) 하위에 설치되는 것을 특징으로 하는 보안 장치.The method of claim 1,
A plurality of the first end communication devices belong to one service group,
One of the master IDs is assigned to the service group to which a public IP address is assigned,
Different sub IDs are allocated to each of the plurality of first end communication devices,
The security device is a security device, characterized in that installed below the NAT (Network Address Translation) in the communication layer in the mobile communication core network. 제 1 항에 있어서,
복수의 상기 제 1 종단 통신 장치들이 하나의 서비스 그룹에 속하고,
하나의 상기 마스터 ID가, 공인 IP 주소가 할당되는 상기 서비스 그룹에 할당되며,
상기 복수의 제 1 종단 통신 장치 각각에 동일한 서브 ID가 할당되고,
상기 보안 장치는, 이동통신 코어망에서 통신 계층상 NAT(Network Address Translation) 상위에 설치되는 것을 특징으로 하는 보안 장치.The method of claim 1,
A plurality of the first end communication devices belong to one service group,
One of the master IDs is assigned to the service group to which a public IP address is assigned,
The same sub ID is assigned to each of the plurality of first end communication devices,
The security device is a security device, characterized in that installed above the NAT (Network Address Translation) on the communication layer in the mobile communication core network. 제 1 항에 있어서,
상기 수신부는, 상기 제 2 종단 통신 장치 측으로부터 상기 제 1 종단 통신 장치로 향하는 제 2 패킷을 수신하고,
상기 ID 확인부는, 상기 제 2 패킷의 출발지 IP 주소를 상기 정책 관리 장치로 전송하여 이에 대응하는 마스터 ID를 수신하며, 상기 제 2 패킷의 목적지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 저장부에서 확인하고,
상기 정책 조회부는, 상기 제 2 패킷의 출발지 IP 주소에 대응하는 마스터 ID와, 상기 제 2 패킷의 목적지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 정책 관리 장치로 전송하여 정책을 질의하고 승인 응답을 수신하며,
상기 전송부는, 상기 제 2 패킷을 상기 제 1 종단 통신 장치로 전송하는 것을 특징으로 하는 보안 장치.The method of claim 1,
The receiving unit receives a second packet directed to the first terminal communication device from the second terminal communication device side,
The ID verification unit transmits the source IP address of the second packet to the policy management device to receive a master ID corresponding thereto, and stores a sub ID and a master ID corresponding to the destination IP address of the second packet. Check in,
The policy inquiry unit transmits a master ID corresponding to the source IP address of the second packet, and a sub ID and master ID corresponding to the destination IP address of the second packet to the policy management device to query a policy and respond to an approval And receive
The transmission unit, the security device, characterized in that for transmitting the second packet to the first terminal communication device. 제 1 항에 있어서,
상기 정책 조회부는,
상기 승인 응답에 토큰 시드를 포함하여 수신하고, 상기 토큰 시드를 이용하여 토큰을 생성하며, 상기 제 1 패킷에 상기 토큰을 삽입하는 것을 특징으로 하는 보안 장치.The method of claim 1,
The policy inquiry unit,
A security device comprising: receiving and including a token seed in the authorization response, generating a token using the token seed, and inserting the token into the first packet. 제 6 항에 있어서,
상기 정책 조회부는,
넌스(Nonce), 상기 제 1 패킷의 페이로드, 타임스탬프, 상기 서브 ID, 상기 토큰 시드를 이용하여 토큰을 생성하는 것을 특징으로 하는 보안 장치.The method of claim 6,
The policy inquiry unit,
A security device comprising generating a token using a nonce, a payload of the first packet, a timestamp, the sub ID, and the token seed. 제 1 항에 있어서,
상기 정책 관리 장치는,
정책 정보로서, 서로 통신이 허용된 각 종단 통신 장치의 서브 ID 및 마스터 ID마다 타 종단 통신 장치의 마스터 ID의 매핑 정보를 저장하고, 그 정책 정보를 기초로 상기 승인 응답을 회신하며,
IP 주소 정보로서, 마스터 ID 및 IP 주소의 매핑 정보를 저장하고, 그 IP 주소 정보를 기초로 상기 ID 확인부로부터 수신되는 IP 주소에 대응하는 마스터 ID를 상기 ID 확인부로 회신하는 것을 특징으로 하는 보안 장치.The method of claim 1,
The policy management device,
As policy information, mapping information of the master ID of the other end communication device is stored for each sub ID and master ID of each end communication device allowed to communicate with each other, and the approval response is returned based on the policy information,
As IP address information, a master ID and mapping information of an IP address are stored, and a master ID corresponding to an IP address received from the ID verification unit is returned to the ID verification unit based on the IP address information. Device. 보안 장치에서 정책 관리 장치와 연동하여 제 1 종단 통신 장치 및 제 2 종단 통신 장치 간 통신에 보안을 제공하는 방법으로서,
IP 주소와, 서브 ID 및 마스터 ID의 매핑 정보를 저장하는 단계;
상기 제 1 종단 통신 장치로부터, 상기 제 2 종단 통신 장치로 향하는 제 1 패킷을 수신하는 단계;
상기 제 1 패킷의 목적지 IP 주소를 상기 정책 관리 장치로 전송하여 이에 대응하는 마스터 ID를 수신하며, 상기 제 1 패킷의 출발지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 저장부에서 확인하는 단계;
상기 목적지 IP 주소에 대응하는 마스터 ID와, 상기 출발지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 정책 관리 장치로 전송하여 정책을 질의하고 승인 응답을 수신하는 단계;
상기 승인 응답의 수신에 따라 상기 제 1 패킷을 상기 제 2 종단 통신 장치 측으로 전송하는 단계; 및
세션 유지 패킷을 생성하여 상기 제 2 종단 통신 장치 측으로 전송하는 단계를 포함하는 방법.As a method for providing security for communication between a first end communication device and a second end communication device by interworking with a policy management device in a security device,
Storing mapping information between an IP address and a sub ID and a master ID;
Receiving a first packet from the first end communication device to the second end communication device;
Transmitting the destination IP address of the first packet to the policy management device to receive a master ID corresponding thereto, and checking a sub ID and a master ID corresponding to the source IP address of the first packet in the storage unit;
Transmitting a master ID corresponding to the destination IP address, a sub ID and a master ID corresponding to the source IP address to the policy management device to query a policy and receive an approval response;
Transmitting the first packet to the second end communication device upon receipt of the acknowledgment response; And
And generating a session maintenance packet and transmitting it to the second end communication device. 제 9 항에 있어서,
상기 세션 유지 패킷을 생성하여 상기 제 2 종단 통신 장치 측으로 전송하는 단계는,
상기 제 2 종단 통신 장치 측에서 상기 세션 유지 패킷을 세션 유지를 위한 패킷으로 판단하고 삭제하도록 상기 세션 유지 패킷의 헤더에 특정 플래그를 포함시키는 것을 특징으로 하는 방법.The method of claim 9,
Generating the session maintenance packet and transmitting it to the second end communication device,
And including a specific flag in a header of the session maintenance packet so that the second end communication device determines the session maintenance packet as a packet for session maintenance and deletes it. 제 9 항에 있어서,
복수의 상기 제 1 종단 통신 장치들이 하나의 서비스 그룹에 속하고,
하나의 상기 마스터 ID가, 공인 IP 주소가 할당되는 상기 서비스 그룹에 할당되며,
상기 복수의 제 1 종단 통신 장치 각각에 서로 다른 상기 서브 ID가 할당되고,
상기 보안 장치는, 이동통신 코어망에서 통신 계층상 NAT(Network Address Translation) 하위에 설치되는 것을 특징으로 하는 방법.The method of claim 9,
A plurality of the first end communication devices belong to one service group,
One of the master IDs is assigned to the service group to which a public IP address is assigned,
Different sub IDs are allocated to each of the plurality of first end communication devices,
The method, characterized in that the security device is installed under a network address translation (NAT) on a communication layer in a mobile communication core network. 제 9 항에 있어서,
복수의 상기 제 1 종단 통신 장치들이 하나의 서비스 그룹에 속하고,
하나의 상기 마스터 ID가, 공인 IP 주소가 할당되는 상기 서비스 그룹에 할당되며,
상기 복수의 제 1 종단 통신 장치 각각에 동일한 서브 ID가 할당되고,
상기 보안 장치는, 이동통신 코어망에서 통신 계층상 NAT(Network Address Translation) 상위에 설치되는 것을 특징으로 하는 방법.The method of claim 9,
A plurality of the first end communication devices belong to one service group,
One of the master IDs is assigned to the service group to which a public IP address is assigned,
The same sub ID is assigned to each of the plurality of first end communication devices,
The security device, characterized in that installed above the NAT (Network Address Translation) on the communication layer in the mobile communication core network. 제 9 항에 있어서,
상기 제 2 종단 통신 장치 측으로부터 상기 제 1 종단 통신 장치로 향하는 제 2 패킷을 수신하는 단계;
상기 제 2 패킷의 출발지 IP 주소를 상기 정책 관리 장치로 전송하여 이에 대응하는 마스터 ID를 수신하며, 상기 제 2 패킷의 목적지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 저장부에서 확인하는 단계;
상기 제 2 패킷의 상기 출발지 IP 주소에 대응하는 마스터 ID와, 상기 제 2 패킷의 목적지 IP 주소에 대응하는 서브 ID 및 마스터 ID를 상기 정책 관리 장치로 전송하여 정책을 질의하고 승인 응답을 수신하는 단계; 및
상기 제 2 패킷을 상기 제 1 종단 통신 장치로 전송하는 단계를 더 포함하는 것을 특징으로 하는 방법.The method of claim 9,
Receiving a second packet from the second end communication device side to the first end communication device;
Transmitting a source IP address of the second packet to the policy management device to receive a master ID corresponding thereto, and checking a sub ID and a master ID corresponding to the destination IP address of the second packet in the storage unit;
Transmitting a master ID corresponding to the source IP address of the second packet, and a sub ID and master ID corresponding to the destination IP address of the second packet to the policy management device to query a policy and receive an approval response ; And
And transmitting the second packet to the first end communication device. 제 9 항에 있어서,
상기 승인 응답에 포함된 토큰 시드를 이용하여 토큰을 생성하며, 상기 제 1 패킷에 상기 토큰을 삽입하는 단계를 더 포함하는 것을 특징으로 하는 방법.The method of claim 9,
And generating a token using the token seed included in the authorization response, and inserting the token into the first packet. 제 14 항에 있어서,
상기 토큰을 삽입하는 단계는,
넌스(Nonce), 상기 제 1 패킷의 페이로드, 타임스탬프, 상기 서브 ID, 상기 토큰 시드를 이용하여 토큰을 생성하는 것을 특징으로 하는 방법.The method of claim 14,
Inserting the token,
A method of generating a token using a nonce, a payload of the first packet, a timestamp, the sub ID, and the token seed. 제 9 항에 있어서,
상기 정책 관리 장치는,
정책 정보로서, 서로 통신이 허용된 각 종단 통신 장치의 서브 ID 및 마스터 ID마다 타 종단 통신 장치의 마스터 ID의 매핑 정보를 저장하고, 그 정책 정보를 기초로 상기 승인 응답을 회신하며,
IP 주소 정보로서, 마스터 ID 및 IP 주소의 매핑 정보를 저장하고, 그 IP 주소 정보를 기초로 상기 보안 장치로부터 수신되는 IP 주소에 대응하는 마스터 ID를 상기 보안 장치로 회신하는 것을 특징으로 하는 방법.The method of claim 9,
The policy management device,
As policy information, mapping information of the master ID of the other end communication device is stored for each sub ID and master ID of each end communication device allowed to communicate with each other, and the approval response is returned based on the policy information,
As IP address information, mapping information of a master ID and an IP address is stored, and a master ID corresponding to an IP address received from the security device is returned to the security device based on the IP address information.
KR1020190136178A 2019-10-30 2019-10-30 Apparatus and method for providing security to an end-to-end communication Withdrawn KR20210051207A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190136178A KR20210051207A (en) 2019-10-30 2019-10-30 Apparatus and method for providing security to an end-to-end communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190136178A KR20210051207A (en) 2019-10-30 2019-10-30 Apparatus and method for providing security to an end-to-end communication

Publications (1)

Publication Number Publication Date
KR20210051207A true KR20210051207A (en) 2021-05-10

Family

ID=75917481

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190136178A Withdrawn KR20210051207A (en) 2019-10-30 2019-10-30 Apparatus and method for providing security to an end-to-end communication

Country Status (1)

Country Link
KR (1) KR20210051207A (en)

Similar Documents

Publication Publication Date Title
US10958623B2 (en) Identity and metadata based firewalls in identity enabled networks
US6163843A (en) Packet inspection device, mobile computer and packet transfer method in mobile computing with improved mobile computer authenticity check scheme
US6061346A (en) Secure access method, and associated apparatus, for accessing a private IP network
JP4913909B2 (en) Route optimization in mobile IP networks
CN101667916B (en) A Method of Using Digital Certificates to Authenticate User Identity Based on Separation Mapping Network
CN103975552A (en) Secure prefix authorization with untrusted mapping services
US20080155657A1 (en) Address-authentification-information issuing apparatus, address-authentification-information adding apparatus, false-address checking apparatus, and network system
US20060111080A1 (en) System and method for securing a personalized indicium assigned to a mobile communications device
JP2013507803A (en) Anonymous communication method, registration method, message sending / receiving method and system
CN108667601A (en) A method, device and equipment for transmitting data
US8615658B2 (en) Dynamic foreign agent—home agent security association allocation for IP mobility systems
CN101175067A (en) System and method for implementing network security
KR102156206B1 (en) Apparatus and method for providing security to an end-to-end communication
CN101517986B (en) For the method and system of addressing and route in the correspondence of encryption
CN115699672B (en) Method for protecting encrypted user identities from replay attacks
KR102683438B1 (en) Apparatus and method for providing security to an end-to-end communication
KR100856918B1 (en) IP address authentication method and IP6-based network system in IP6-based network
KR101700588B1 (en) VANET system using a Mutual Authentication Scheme and Black Hole detection method using thereof
JP3678166B2 (en) Wireless terminal authentication method, wireless base station, and communication system
KR20210051207A (en) Apparatus and method for providing security to an end-to-end communication
US10841283B2 (en) Smart sender anonymization in identity enabled networks
KR100827166B1 (en) How to Provide Anonymity for Source Sensors in Wireless Sensor Networks
KR100463751B1 (en) Method for generating packet-data in wireless-communication and method and apparatus for wireless-communication using that packet-data
KR102326977B1 (en) Method for communiating between trust domains and gateway therefor
Basak et al. Security in Network Mobility (NEMO): Issues, Solutions, Classification, Evaluation, and Future Research Directions.

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20191030

PG1501 Laying open of application
PC1203 Withdrawal of no request for examination