[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR101472964B1 - 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템 및 보안 방법 - Google Patents

이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템 및 보안 방법 Download PDF

Info

Publication number
KR101472964B1
KR101472964B1 KR1020130154116A KR20130154116A KR101472964B1 KR 101472964 B1 KR101472964 B1 KR 101472964B1 KR 1020130154116 A KR1020130154116 A KR 1020130154116A KR 20130154116 A KR20130154116 A KR 20130154116A KR 101472964 B1 KR101472964 B1 KR 101472964B1
Authority
KR
South Korea
Prior art keywords
packet
base station
security
mobile communication
core network
Prior art date
Application number
KR1020130154116A
Other languages
English (en)
Inventor
유근출
권장안
정광호
Original Assignee
콘텔라 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 콘텔라 주식회사 filed Critical 콘텔라 주식회사
Priority to KR1020130154116A priority Critical patent/KR101472964B1/ko
Application granted granted Critical
Publication of KR101472964B1 publication Critical patent/KR101472964B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

이동통신사의 기지국과 코어망 사이에 로컬 기업 보안 게이트웨이를 설치하여 기업 서버로 가야 하는 트래픽이 인터넷 구간 등을 통해 전달되지 않고 직접 기업 네트워크로 전달되도록 하는 보안 시스템 및 보안 방법이 개시된다. 본 발명의 일 측면에 따른, 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템은, 기지국과 이동통신 코어망 사이에 위치하여 상기 기지국으로부터 수신되는 패킷을 상기 이동통신 코어망 또는 기업 네트워크로 선택적으로 전송하는 로컬 기업 보안 게이트웨이를 포함하고, 상기 로컬 기업 보안 게이트웨이는, 상기 기지국에 대해 상기 이동통신 코어망의 장비로서 동작을 수행하는 제 1 프록시 모듈; 상기 이동통신 코어망의 장비에 대해 상기 기지국으로서의 동작을 수행하는 제 2 프록시 모듈; 상기 기업 네트워크와 통신하는 로컬 인터페이스; 및 상기 제 1 프록시 모듈로부터 수신되는 패킷을 상기 제 2 프록시 모듈을 통해 상기 이동통신 코어망으로 전송하거나 또는 상기 로컬 인터페이스를 통해 상기 기업 네트워크로 전송하는 패킷 분배기;를 포함한다.

Description

이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템 및 보안 방법{SECURITY SYSTEM AND SECURITY METHOD FOR ENTERPRISE COMMUNICATION SERVICE USING MOBILE COMMUNICATION NETWORK}
본 발명은 이동 단말의 트래픽에 대한 보안 기술에 관한 것으로 보다 구체적으로 소형 기지국 혹은 매크로 기지국을 포함하는 이동통신망을 이용한 기업 통신 서비스에서의 트래픽 보안 시스템 및 보안 방법에 관한 것이다.
이동 단말에 대한 보안은 이동 단말에 자체에 대한 보안, 이동 단말에 설치는 어플리케이션에 대한 보안, 단말 플랫폼에 대한 보안과 무선 네트워크에 대한 보안 등이 존재한다. 이런 보안 종류에 대한 방법은 다양한 기술이 존재한다. 대부분의 이동 단말에 대한 보안은 이동 단말에 에이전트(Agent)를 설치하여 보안 서버와 통신을 하는 방식이나, 이동 단말 자체의 안티-바이러스 어플리케이션(Anti-virus application)을 설치하는 방식으로 보안을 해결하게 된다.
그러나, 이동 오피스(office)나 UC(Unified Communication)와 같은 기업 솔루션(solution)이 이동 단말에 설치가 되면, 해당 기업 솔루션은 기업 내의 이동 오피스(office) 서버나 UC 서버와 필연적으로 통신을 해야 한다. 이런 상황에서는 이동 단말에 보안 솔루션을 설치하더라도 통신사와 기업 사이에는 인터넷 구간이나, 전용선을 이용하는 구간이 발생할 수밖에 없고, 이런 구간은 보안에 취약할 수밖에 없다. 이런 상황을 방지하고자 종래 기술은 이동 단말과 서버가 VPN(Virtual private network)으로 연동을 하는 방안 등과 같은 여러 가지 방안을 제시하고 있다. 그러나 이런 방법들은 이동 단말이 VPN과 같은 방법을 이용해서 기능을 구동해야 하기 때문에, 성능 저하를 유발할 수 있다. 그리고 기업 내의 서버에서도 보안에 대한 많은 트래픽으로 인해 부하가 상승할 수밖에 없다.
국내공개특허공보 10-2013-0129446(2013.11.28)
본 발명은 상기와 같은 문제점을 해결하기 위해 제안된 것으로, 이동통신사의 기지국과 코어망 사이에 로컬 기업 보안 게이트웨이를 설치하여 기업 서버로 가야 하는 트래픽이 인터넷 구간 등을 통해 전달되지 않고 직접 기업 네트워크로 전달되도록 하는 보안 시스템 및 보안 방법을 제공하는데 그 목적이 있다.
또한 본 발명은 이동통신사의 기지국과 코어망 사이에 로컬 기업 보안 게이트웨이를 설치하여 기업 통신 서비스를 제공하면서 기지국에 접속해 있는 이동 단말에 대한 트래픽을 감시 및 제어할 수 있는 보안 시스템 및 보안 방법을 제공하는데 추가적인 목적이 있다.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.
상기 목적을 달성하기 위한 본 발명의 일 측면에 따른, 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템은, 기지국과 이동통신 코어망 사이에 위치하여 상기 기지국으로부터 수신되는 패킷을 상기 이동통신 코어망 또는 기업 네트워크로 선택적으로 전송하는 로컬 기업 보안 게이트웨이를 포함하고, 상기 로컬 기업 보안 게이트웨이는, 상기 기지국에 대해 상기 이동통신 코어망의 장비로서 동작을 수행하는 제 1 프록시 모듈; 상기 이동통신 코어망의 장비에 대해 상기 기지국으로서의 동작을 수행하는 제 2 프록시 모듈; 상기 기업 네트워크와 통신하는 로컬 인터페이스; 및 상기 제 1 프록시 모듈로부터 수신되는 패킷을 상기 제 2 프록시 모듈을 통해 상기 이동통신 코어망으로 전송하거나 또는 상기 로컬 인터페이스를 통해 상기 기업 네트워크로 전송하는 패킷 분배기;를 포함한다.
상기 제 1 프록시 모듈은, 상기 기지국에 대해 상기 코어망의 서빙 게이트웨이(Serving-GW)로서 동작을 수행하는 프록시 서빙 게이트웨이 모듈일 수 있다.
상기 보안 시스템은, 보안 정책에 기초하여 보안 검사를 수행하는 패킷 모니터링 장치;를 더 포함하고, 상기 로컬 기업 보안 게이트웨이는, 상기 패킷 분배기로부터 상기 패킷에서 추출된 사용자 데이터를 수신하고, 그 수신된 사용자 데이터를 상기 패킷 모니터링 장치로 전송하여 보안 검사를 요청하는 모니터링 장치 인터페이스;를 더 포함할 수 있다.
상기 패킷 모니터링 장치는, 상기 모니터링 장치 인터페이스로부터 수신된 사용자 데이터가 보안 정책에 위배되는 경우 폐기할 수 있다.
상기 패킷 분배기는, 상기 패킷 모니터링 장치의 보안 검사를 통과한 패킷에 대해서만 상기 이동통신 코어망으로 전송하거나 또는 상기 기업 네트워크로 전송할 수 있다.
상기 목적을 달성하기 위한 본 발명의 다른 측면에 따른, 기지국과 이동통신 코어망 사이에 위치하는 로컬 기업 보안 게이트웨이를 포함하는 보안 시스템에서 기업 통신 서비스를 위한 보안 방법은, 상기 로컬 기업 보안 게이트웨이가, 상기 기지국에 대해 상기 이동통신 코어망의 장비로서 동작을 수행하는 제 1 프록시 모듈을 통해 패킷을 수신하는 단계; 및 상기 로컬 기업 보안 게이트웨이가, 상기 수신된 패킷을, 상기 이동통신 코어망의 장비에 대해 상기 기지국으로서의 동작을 수행하는 제 2 프록시 모듈을 통해 상기 이동통신 코어망으로 전송하거나, 로컬 인터페이스를 통해 기업 네트워크로 전송하는 단계;를 포함한다.
상기 제 1 프록시 모듈은, 상기 기지국에 대해 상기 코어망의 서빙 게이트웨이(Serving-GW)로서 동작을 수행하는 프록시 서빙 게이트웨이 모듈일 수 있다.
상기 보안 방법은, 상기 전송하는 단계 이전에, 상기 로컬 기업 보안 게이트웨이가, 상기 수신된 패킷에서 사용자 데이터를 추출하여 패킷 모니터링 장치로 전송하여 보안 검사를 요청하는 단계;를 더 포함할 수 있다.
상기 보안 방법은, 상기 전송하는 단계 이전에, 상기 로컬 기업 보안 게이트웨이가, 보안 정책에 기초하여 보안 검사를 통과한 상기 사용자 데이터를 상기 패킷 모니터링 장치로부터 수신하는 단계;를 더 포함할 수 있다.
상기 보안 정책에 위배되는 사용자 데이터는 상기 패킷 모니터링 장치에 의해 폐기될 수 있다.
본 발명은 이동통신사의 기지국과 코어망 사이에 설치된 로컬 기업 보안 게이트웨이를 통해 기업 통신 서비스를 제공함으로써 기업 통신 서비스의 보안을 강화하고 이동 단말과 기업 내 서버의 부하를 경감시킨다.
또한 개인 이동 단말 및 기업 이동 단말로 업무 환경에 액세스하는 모바일 오피스, UC 등이 일반화가 되어 가고 있고 이에 대한 보안 대책으로 많은 솔루션이 제시되어 왔지만 현재까지 유선과 같은 보안 수준을 제공하지 못하였으나, 본 발명은 유선과 동일한 수준의 보안을 제공한다.
또한, 본 발명은 이동 단말에 대한 어플리케이션 사용(Application Usage)들을 모니터링할 수 있어 특정 웹 사이트(web site) 접속, 웹 메일(Web Mail), P2P 어플리케이션 등에 대한 사용 여부 등을 정책적으로 제어할 수 있게 한다.
도 1은 본 발명의 일 실시예에 따른 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 로컬 기업 보안 게이트웨이의 프로토콜 계층(layer)를 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)의 구성을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)의 패킷 처리 과정을 설명하는 흐름도이다.
도 5는 본 발명의 다른 실시예에 따른 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템의 구성을 나타낸 도면이다.
도 6은 본 발명의 다른 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)의 구성을 나타낸 도면이다.
도 7은 본 발명의 다른 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)와 패킷 모니터링 장치의 패킷 처리 과정을 설명하는 흐름도이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템의 구성을 나타낸 도면이다.
도 1에 도시된 바와 같이, 본 실시예에 따른 보안 시스템은 이동 단말(110), 기지국(120), 로컬 기업 보안 게이트웨이(LESG:Local Enterprise Security Gateway)(130), 코어망의 요소인 이동성 관리 엔터티(MME:Mobility Management Entity)(140), 서빙 게이트웨이(S-GW:Serving GateWay)(150) 및 기업 네트워크(160)를 포함한다.
이동 단말(110)은, 데이터 통신을 제공하는 장치로서 UE(User Equipment), MS(Mobile Station), UT(User Terminal), SS(Subscriber Station) 등의 다른 용어로 불릴 수 있다. 이동 단말(110)은 EUTRAN(Evolved Universal Terrestrial Radio Access Network)를 포함하는 LTE 네트워크가 연동되는 이동통신망을 이용할 수 있다. 또한 경우에 따라서 이동 단말(100)은 UTRAN을 포함하는 WCDMA 네트워크가 연동되는 이동통신망을 이용할 수 있다. 예를 들어, 셀룰러폰, PCS 폰, GSM 폰, CDMA-2000폰, WCDMA폰 등과 같은 종래의 이동 전화기 및 최근 활발히 사용되는 스마트 폰과 태블릿 PC 및 4G망을 이용하는 이동 전화기 등이 모두 이동 단말(100)에 포함된다.
기지국(120)은 소형 기지국인 펨토 기지국, 매크로 기지국을 포함한다. 여기서 매크로 기지국은 eNB 등이다. 펨토 기지국은, 넓은 반경의 매크로 기지국의 영역에 위치하거나 매크로 기지국의 영역 밖에 설치되어, 소수의 가입자를 위한 펨토 셀 커버리지로 특정 통신 서비스를 제공하는 노드이다. 이러한 펨토 기지국은 초소형 기지국, 피코(Pico) 기지국, 유비셀(Ubicell) 기지국, 3GPP 표준용어로는 HeNodeB 등 다양한 용어로 사용되기도 한다.
이동성 관리 엔터티(MME)(140)는 가입자 정보 및 이동 단말(110)의 이동성을 관리하는 노드로서 세션 관리, 아이들(idle) 가입자관리, 페이징(paging), 가입자 인증 기능 등을 담당한다. 즉, 이동성 관리 엔터티(MME)(140)는 이동 단말(110)이나 다른 네트워크 노드, 예컨대 PDN-GW 또는 Serving-GW로부터의 결합 요청이나 무선 베어러 설정 요청 등이 있는 경우에 제어 신호를 처리하는 것 등과 같은 제어 평면(control plane)의 여러 기능을 담당하며, EPS 베어러 또는 아이피 터널(IP tunnel)의 설정과 이동성 관리(mobility management) 등의 기능을 수행한다.
서빙-게이트웨이(Serving-GW)(150)는 설정된 세션에 따라 페이로드 트래픽(payload traffic)을 처리하는 세션 제어(session control) 및 데이터 플레인 노드로서, 기지국(120)과 S1-U 인터페이스로 연동하며 Inter LTE/3GPP 핸드오버를 지원하고, PDN(Packet Data Network)-GW(GateWay)와 EPS 베어러(Evolved Packet System bearer)를 설정하고 터널링을 이용하여 PDU(Packet Data Unit)를 전달한다.
로컬 기업 보안 게이트웨이(LESG)(130)은, 도 1에 도시된 바와 같이, 기지국(120)과 MME/Serving-GW(140, 150) 중간에 설치된다. 종래의 LTE 이동통신망은 3G/LTE 듀얼 모드 단말과 이 단말들과 LTE 기반의 무선 통신을 수행하는 기지국(120)이 존재하고, 이런 기지국(120)들과 통신하는 MME(140)와 Serving-GW(150)가 존재한다. 본 발명에 있어서 로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(120)과 MME/Serving-GW(140, 150) 사이의 중간에 프록시(proxy) 형태로 추가된다.
로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(120)과 MME/Serving-GW(140, 150) 사이에 추가되어, 이동 단말(110)이 수행하는 시그널링(signaling)과 베어러 트래픽(bearer traffic)을 중계(relay)하는 역할을 수행한다. 이런 역할을 수행하면서 로컬 기업 보안 게이트웨이(LESG)(130)는 이동 단말(110)이 로컬 네트워크로 접속을 원하는지 판단하여 기업 네트워크(160)로 패킷 라우팅(Packet Routing)을 한다.
도 2는 본 발명의 일 실시예에 따른 로컬 기업 보안 게이트웨이의 프로토콜 계층(layer)를 나타낸 도면이다.
도 2의 (a)는 시그널링(signaling)을 위한 프로토콜 스택을 나타낸다. 도 2의 (a)에 도시된 바와 같이, 로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(eNB)(120)와 MME(140)의 프로토콜과 동일한 형태의 프로토콜을 수행한다. 따라서 양측, 즉 기지국(eNB)(120)과 MME(140)에서의 변경 사항이 없이 중간의 로컬 기업 보안 게이트웨이(LESG)(130)가 시그널링을 중계(relay)하게 된다. 도 2의 (a)에 도시된 바와 같이, 로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(eNB)과 MME(140) 사이의 인터페이스인 SI-AP 계층, SCTP(Stream Control Transmission Protocol) 스택, IP(Internet Protocol) 스택, L2/L1 스택을 포함한다.
도 2의 (b)는 베어러 트래픽(beare traffic)을 위한 프로토콜 스택을 나타낸다. 도 2의 (b)에 도시된 바와 같이, 로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(eNB)(120)와 Serving_GW(150)의 프로토콜과 동일한 형태의 프로토콜을 수행한다. 따라서 양측, 즉 기지국(eNB)(120)과 Serving_GW(150)에서의 변경 사항이 없이 중간의 로컬 기업 보안 게이트웨이(LESG)(140)가 베어러 패킷을 중계(relay)하게 된다. 도 2의 (b)에 도시된 바와 같이, 로컬 기업 보안 게이트웨이(LESG)(130)는 IP(Internet Protocol) 스택, GTP-U(GPRS Tunneling Protocol for User plane) 스택, UDP(User Datagram Protocol) 스택, L2/L1 스택을 포함한다.
도 3은 본 발명의 일 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)의 구성을 나타낸 도면이다.
도 3에 도시된 바와 같이, 본 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)(130)는 프록시 MME 모듈(310), 프록시 기지국 모듈(320), 프록시 Serving-GW 모듈(330), 프록시 기지국 모듈(340), 패킷 분배기(packet distributor)(350) 및 로컬 인터페이스(360)를 포함한다.
프록시(Proxy) MME 모듈(310)은 하위의 실제 기지국(펨토 기지국, eNB 등)(120)에 대한 MME 역할을 수행한다. 실제로 기능을 수행하는 것이 아니라, 시그널링 메시지를 중계하는 역할을 수행한다. 이와 함께 프록시 기지국 모듈(320)도 수신된 시그널링 메시지들에 대해 기지국 역할을 수행하여 실제 통신 사업자 망의 MME(140)와 연동을 수행하게 된다.
프록시 Serving-GW 모듈(330)은 하위의 실제 기지국(펨토 기지국, eNB 등)(120)에 대해 Serving-GW 역할을 수행한다. 실제로 기능을 수행하는 것이 아니라, 베어러 패킷을 중계하는 역할을 수행한다. 프록시 Serving-GW 모듈(330)은 기지국(120)로부터 수신되는 베어러 패킷을 상위의 패킷 분배기(350)로 송신하고, 패킷 분배기(350)로부터 수신된 베어러 패킷을 기지국(120)으로 송신한다.
패킷 분배기(Packet Distributor)(350)는 프록시 Serving-GW 모듈(330)로부터 수신된 베어러 패킷을 분석하여 기업 네트워크(160)로 전달할지 여부를 판단하고, 기업 네트워크(160)로 전달해야 하는 경우 로컬 인터페이스(360)로 베어러 패킷을 전달한다. 반면, 상기 베어러 패킷이 기업 네트워크(160)로 전달하지 않아도 되는 패킷인 경우, 패킷 분배기(350)는 해당 베어러 패킷을 프록시 기지국 모듈(340)로 송신한다. 프록시 기지국 모듈(340)은 수신된 베어러 패킷에 대해 기지국 역할을 수행하여 실제 통신 사업자 망의 Serving-GW(150)와 연동을 수행하게 된다.
도 4는 본 발명의 일 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)의 패킷 처리 과정을 설명하는 흐름도이다.
도 4를 참조하면, 로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(120)으로부터 베어러 패킷을 수신한다(S401). 로컬 기업 보안 게이트웨이(LESG)(130)는 수신된 베어러 패킷에서 사용자 데이터를 추출한다(S403).
로컬 기업 보안 게이트웨이(LESG)(130)는 상기 추출한 사용자 데이터와 그리고 제어 평면에서 추출된 사용자 정보, 예를 들어 MSISDN((Mobile Station International ISDN Number) 또는 IMSI(International Mobile Subscriber Identity) 등을 토대로 상기 베어러 패킷이 로컬 데이터인지 판단한다(S405). 즉 상기 베어러 패킷이 기업 네트워크(160)로 전송해야 할 패킷인지 판단하는 것이다.
로컬 데이터인 경우, 로컬 기업 보안 게이트웨이(LESG)(130)는 상기 베어러 패킷을 기업 네트워크(160)로 라우팅하고(S409), 로컬 데이터가 아닌 경우 상기 베어러 패킷을 EPC(Evolved Packet Core) 네트워크, 즉 Serving-GW(150)로 라우팅한다(S407).
도 5는 본 발명의 다른 실시예에 따른 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템의 구성을 나타낸 도면이다. 도 5에 있어서 도 1과 동일한 참조부호의 구성요소는 도 1을 참조하여 설명한 기능 및 동작을 모두 포함한다.
도 5에 도시된 바와 같이, 본 실시예에 따른 보안 시스템은 도 1을 참조한 보안 시스템과 달리, 패킷 모니터링 장치(510)를 더 포함한다.
패킷 모니터링 장치(510)는 로컬 기업 보안 게이트웨이(LESG)(130)로부터 베어러 패킷을 수신하고 그 수신된 베어러 패킷을 보안 정책에 기초하여 분석한다. 이때 패킷 모니터링 장치(510)는 로컬 기업 보안 게이트웨이(LESG)(130)로부터 상기 베어러 패킷의 사용자 정보(예컨대, MSISDN, IMSI 등)를 함께 수신할 수 있다. 패킷 모니터링 장치(510)는 베어러 패킷이 보안 정책에 위배되는 경우, 해당 베어러 패킷을 폐기하고 이에 대한 결과를 로컬 기업 보안 게이트웨이(LESG)(130)로 리턴한다. 반면 베어러 패킷이 보안 정책에 위배되지 않는 경우, 패킷 모니터링 장치(510)는 그 결과와 함께 베어러 패킷을 로컬 기업 보안 게이트웨이(LESG)(130)로 리턴한다.
로컬 기업 보안 게이트웨이(LESG)(130)는 패킷 모니터링 장치(510)로부터 베어러 패킷을 수신하면, 상기 베어러 패킷이 기업 네트워크(160)로 전송해야 할 로컬 패킷인지 판단하여, 로컬 패킷인 경우, 상기 베어러 패킷을 기업 네트워크(160)로 라우팅하고, 로컬 패킷이 아닌 경우 상기 베어러 패킷을 EPC(Evolved Packet Core) 네트워크, 즉 Serving-GW(150)로 라우팅한다.
패킷 모니터링 장치(510)는 베어러 패킷 대신 해당 베어러 패킷에서 추출된 사용자 데이터(User data)를 수신하여 보안 정책에 기초한 분석을 할 수 있다. 즉, 로컬 기업 보안 게이트웨이(LESG)(130)는 베어러 패킷에서 사용자 데이터를 추출하여 패킷 모니터링 장치(510)로 전송하여 보안 검사를 요청하고, 보안 정책에 위배되지 않을 경우 패킷 모니터링 장치(510)로부터 그 분석 결과와 함께 사용자 데이터를 수신할 수 있다. 로컬 기업 보안 게이트웨이(LESG)(130)는 사용자 데이터를 다시 프로토콜 스택에 따라 캡슐레이션하여 코어망 또는 기업 네트워크로 전송한다.
패킷 모니터링 장치(510)는 어떤 이동 단말(110)이 어떤 종류의 트래픽을 사용하는지 감시 및 제어 기능을 수행하게 된다.
도 6은 본 발명의 다른 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)의 구성을 나타낸 도면이다. 도 6에 있어서 도 3과 동일한 참조부호의 구성요소는 도 3을 참조하여 설명한 기능 및 동작을 모두 포함한다.
도 6에 도시된 바와 같이, 본 실시예에 따른 보안 시스템은 도 3을 참조한 보안 시스템과 달리, 모니터링 장치 인터페이스(610)를 더 포함한다.
모니터링 장치 인터페이스(610)는 패킷 분배기(350)로부터 베어러 패킷을 전달받고 그 전달받은 베어러 패킷과 사용자 정보(MSIDNS, IMSI 등)을 패킷 모니터링 장치(510)로 송신한다. 그리고 모니터링 장치 인터페이스(610)는 패킷 모니터링 장치(510)로부터 패킷 분석 결과를 수신한다. 여기서 베어러 패킷이 보안 정책에 위배되는 경우 폐기에 따른 결과만을 수신할 수 있고, 보안 정책에 위배되지 않는 경우 베어러 패킷을 온전히 수신할 수 있다. 모니터링 장치 인터페이스(610)는 패킷 모니터링 장치(510)로부터 수신된 패킷 분석 결과를 패킷 분배기(350)로 전달한다. 앞서 설명한 바와 같이, 모니터링 장치 인터페이스(610)는 베어러 패킷 자체가 아닌, 그 패킷으로부터 추출된 사용자 데이터를 송수신할 수 있다.
도 7은 본 발명의 다른 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)와 패킷 모니터링 장치의 패킷 처리 과정을 설명하는 흐름도이다.
도 7을 참조하면, 로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(120)으로부터 베어러 패킷을 수신한다(S701). 로컬 기업 보안 게이트웨이(LESG)(130)는 수신된 베어러 패킷에서 사용자 데이터를 추출한다(S703).
로컬 기업 보안 게이트웨이(LESG)(130)는 상기 추출한 사용자 데이터와 그리고 해당 베어러 패킷의 사용자 정보 예를 들어 MSISDN((Mobile Station International ISDN Number) 또는 IMSI(International Mobile Subscriber Identity) 등을 패킷 모니터링 장치(510)로 전달하여 보안 검사를 요청한다(S705).
패킷 모니터링 장치(510)는 상기 추출한 사용자 데이터 그리고 사용자 정보를 토대로 보안 정책 위배 여부를 판단한다(S707). 만약 보안 정책에 위배되는 경우, 패킷 모니터링 장치(510)는 해당 사용자 데이터를 폐기 처리한다(S709). 반면 보안 정책에 위배되지 않는 경우, 패킷 모니터링 장치(510)는 해당 사용자 데이터의 통과를 결정하고 사용자 데이터를 다시 로컬 기업 보안 게이트웨이(LESG)(130)로 리턴한다(S711, S713).
보안 정책에 위배되지 않은 사용자 데이터는 로컬 기업 보안 게이트웨이(LESG)(130)로 수신되고, 로컬 기업 보안 게이트웨이(LESG)(130)는 상기 베어러 패킷이 로컬 데이터인지 판단한다(S715). 즉 상기 베어러 패킷이 기업 네트워크(160)로 전송해야 할 패킷인지 판단하는 것이다.
로컬 데이터인 경우, 로컬 기업 보안 게이트웨이(LESG)(130)는 상기 베어러 패킷을 기업 네트워크(160)로 라우팅하고(S717), 로컬 데이터가 아닌 경우 상기 베어러 패킷을 EPC(Evolved Packet Core) 네트워크, 즉 Serving-GW(150)로 라우팅한다(S719).
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
110 : 이동 단말 120 : 기지국
130 : 로컬 기업 보안 게이트웨이(LESG)
140 : MME 150 : Serving-GW
160 : 기업 네트워크

Claims (10)

  1. 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템에 있어서,
    기지국과 이동통신 코어망 사이에 위치하여 상기 기지국으로부터 수신되는 패킷을 상기 이동통신 코어망 또는 기업 네트워크로 선택적으로 전송하는 로컬 기업 보안 게이트웨이를 포함하고,
    상기 로컬 기업 보안 게이트웨이는,
    상기 기지국에 대해 상기 이동통신 코어망의 장비로서 동작을 수행하는 제 1 프록시 모듈;
    상기 이동통신 코어망의 장비에 대해 상기 기지국으로서의 동작을 수행하는 제 2 프록시 모듈;
    상기 기업 네트워크와 통신하는 로컬 인터페이스; 및
    상기 제 1 프록시 모듈로부터 수신되는 패킷을 상기 제 2 프록시 모듈을 통해 상기 이동통신 코어망으로 전송하거나 또는 상기 로컬 인터페이스를 통해 상기 기업 네트워크로 전송하는 패킷 분배기;를 포함하고,
    상기 제 1 프록시 모듈은,
    상기 기지국에 대해 상기 코어망의 서빙 게이트웨이(Serving-GW)로서 동작을 수행하는 프록시 서빙 게이트웨이 모듈이고,
    상기 제 2 프록시 모듈은,
    상기 코어망의 서빙 게이트웨이(Serving-GW)에 대해 기지국으로서 동작을 수행하는 프록시 기지국 모듈인 것을 특징으로 하는 보안 시스템.
  2. 삭제
  3. 제 1 항에 있어서,
    보안 정책에 기초하여 보안 검사를 수행하는 패킷 모니터링 장치;를 더 포함하고,
    상기 로컬 기업 보안 게이트웨이는,
    상기 패킷 분배기로부터 상기 패킷에서 추출된 사용자 데이터를 수신하고, 그 수신된 사용자 데이터를 상기 패킷 모니터링 장치로 전송하여 보안 검사를 요청하는 모니터링 장치 인터페이스;를 더 포함하는 것을 특징으로 하는 보안 시스템.
  4. 제 3 항에 있어서,
    상기 패킷 모니터링 장치는,
    상기 모니터링 장치 인터페이스로부터 수신된 사용자 데이터가 보안 정책에 위배되는 경우 폐기하는 것을 특징으로 하는 보안 시스템.
  5. 제 3 항에 있어서,
    상기 패킷 분배기는,
    상기 패킷 모니터링 장치의 보안 검사를 통과한 패킷에 대해서만 상기 이동통신 코어망으로 전송하거나 또는 상기 기업 네트워크로 전송하는 것을 특징으로 하는 보안 시스템.
  6. 기지국과 이동통신 코어망 사이에 위치하는 로컬 기업 보안 게이트웨이를 포함하는 보안 시스템에서 기업 통신 서비스를 위한 보안 방법으로서,
    상기 로컬 기업 보안 게이트웨이가, 상기 기지국에 대해 상기 이동통신 코어망의 장비로서 동작을 수행하는 제 1 프록시 모듈을 통해 패킷을 수신하는 단계; 및
    상기 로컬 기업 보안 게이트웨이가, 상기 수신된 패킷을, 상기 이동통신 코어망의 장비에 대해 상기 기지국으로서의 동작을 수행하는 제 2 프록시 모듈을 통해 상기 이동통신 코어망으로 전송하거나, 로컬 인터페이스를 통해 기업 네트워크로 전송하는 단계;를 포함하고,
    상기 제 1 프록시 모듈은,
    상기 기지국에 대해 상기 코어망의 서빙 게이트웨이(Serving-GW)로서 동작을 수행하는 프록시 서빙 게이트웨이 모듈이고,
    상기 제 2 프록시 모듈은,
    상기 코어망의 서빙 게이트웨이(Serving-GW)에 대해 기지국으로서 동작을 수행하는 프록시 기지국 모듈인 것을 특징으로 하는 보안 방법.
  7. 삭제
  8. 제 6 항에 있어서,
    상기 전송하는 단계 이전에,
    상기 로컬 기업 보안 게이트웨이가, 상기 수신된 패킷에서 사용자 데이터를 추출하여 패킷 모니터링 장치로 전송하여 보안 검사를 요청하는 단계;를 더 포함하는 것을 특징으로 하는 보안 방법.
  9. 제 8 항에 있어서,
    상기 전송하는 단계 이전에,
    상기 로컬 기업 보안 게이트웨이가, 보안 정책에 기초하여 보안 검사를 통과한 상기 사용자 데이터를 상기 패킷 모니터링 장치로부터 수신하는 단계;를 더 포함하는 것을 특징으로 하는 보안 방법.
  10. 제 8 항에 있어서,
    상기 보안 정책에 위배되는 사용자 데이터는 상기 패킷 모니터링 장치에 의해 폐기되는 것을 특징으로 하는 보안 방법.
KR1020130154116A 2013-12-11 2013-12-11 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템 및 보안 방법 KR101472964B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130154116A KR101472964B1 (ko) 2013-12-11 2013-12-11 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템 및 보안 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130154116A KR101472964B1 (ko) 2013-12-11 2013-12-11 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템 및 보안 방법

Publications (1)

Publication Number Publication Date
KR101472964B1 true KR101472964B1 (ko) 2014-12-16

Family

ID=52678953

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130154116A KR101472964B1 (ko) 2013-12-11 2013-12-11 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템 및 보안 방법

Country Status (1)

Country Link
KR (1) KR101472964B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108696546A (zh) * 2017-02-15 2018-10-23 中兴通讯股份有限公司 一种企业移动专用网的用户终端访问公网的方法及装置
KR20230037183A (ko) 2021-09-09 2023-03-16 현대중공업 주식회사 원격지 장비/제품 온-라인 접속 지원시스템

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108696546A (zh) * 2017-02-15 2018-10-23 中兴通讯股份有限公司 一种企业移动专用网的用户终端访问公网的方法及装置
CN108696546B (zh) * 2017-02-15 2021-08-24 中兴通讯股份有限公司 一种企业移动专用网的用户终端访问公网的方法及装置
KR20230037183A (ko) 2021-09-09 2023-03-16 현대중공업 주식회사 원격지 장비/제품 온-라인 접속 지원시스템

Similar Documents

Publication Publication Date Title
US9143949B2 (en) Wireless communications network base station extension
US8855649B2 (en) Network system, offload device, and user identification information obtaining method for offload device
JP2015519792A (ja) マルチネットワークジョイント伝送を行うシステム、ユーザ装置及び方法
CN105491617A (zh) 一种支持业务本地分流的方法及基站子系统
KR20140023435A (ko) 통신 방법 및 시스템, 액세스 네트워크 장치, 및 애플리케이션 서버
US11323289B2 (en) Tunnel establishment method and apparatus
US10206139B2 (en) Method and device for data shunting
WO2017219355A1 (zh) 多连接通信方法和设备
JP2021114800A (ja) 基地局、無線通信システムおよび通信方法
US20190260857A1 (en) Data Packet Processing Method, Control Plane Network Element, And User Plane Network Element
JP2016536814A (ja) 専用ベアラを用いるローカルandsfサーバへのアクセス
KR20190140045A (ko) 사용자 평면 링크 설립 방법, 기지국 및 이동성 관리 장치
Ahn et al. SDN‐Based Mobile Data Offloading Scheme Using a Femtocell and WiFi Networks
KR101472964B1 (ko) 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템 및 보안 방법
KR101383294B1 (ko) 데이터 오프로딩 접속을 제어하는 기지국 장치 및 가상화 기지국 시스템
CN103096507B (zh) 一种数据通道的建立方法及装置
EP3138256B1 (en) Residential local break out in a communication system
US9936402B2 (en) Methods and systems for managing relays in LTE based communication networks
US20230216576A1 (en) Technique for relaying control messages between a core network entity and radio devices
US20200045614A1 (en) Communicating over a local area network connection between a radio access node and a user equipment relay
KR102205480B1 (ko) 가상화 코어 시스템, 코어망 변경 시스템 및 가상화 mme
WO2018032520A1 (zh) 上行、下行数据传输方法和装置
CN113853773A (zh) 将承载标识映射到IPv6架构
KR20150023156A (ko) 서비스 품질 정보 갱신 방법 및 장치

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180110

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181129

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191128

Year of fee payment: 6