KR102564418B1 - System for controlling network access and method of the same - Google Patents

System for controlling network access and method of the same Download PDF

Info

Publication number
KR102564418B1
KR102564418B1 KR1020230023898A KR20230023898A KR102564418B1 KR 102564418 B1 KR102564418 B1 KR 102564418B1 KR 1020230023898 A KR1020230023898 A KR 1020230023898A KR 20230023898 A KR20230023898 A KR 20230023898A KR 102564418 B1 KR102564418 B1 KR 102564418B1
Authority
KR
South Korea
Prior art keywords
router
information
data
node
access
Prior art date
Application number
KR1020230023898A
Other languages
Korean (ko)
Inventor
김영랑
Original Assignee
프라이빗테크놀로지 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 프라이빗테크놀로지 주식회사 filed Critical 프라이빗테크놀로지 주식회사
Priority to KR1020230023898A priority Critical patent/KR102564418B1/en
Application granted granted Critical
Publication of KR102564418B1 publication Critical patent/KR102564418B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 문서에 개시된 일 실시예에 따른 라우터는, 통신 회로, 상기 통신 회로와 작동적으로 연결되는 프로세서 및 상기 프로세서와 작동적으로 연결되고, 접속 제어 애플리케이션을 저장하는 메모리를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 라우터가, 상기 대상 애플리케이션을 통해 노드의 네트워크 접속 이벤트를 수신하거나 상기 대상 애플리케이션을 통해 네트워크 접속 이벤트가 발생하면, 상기 접속 제어 애플리케이션을 통해 상기 대상 애플리케이션의 식별 정보, 상기 노드의 목적지 네트워크의 식별 정보에 기반하여 외부 서버에게 네트워크 접속 요청을 수행하고, 상기 외부 서버로부터 상기 대상 애플리케이션의 식별 정보에 대응되는 데이터 플로우를 수신하고, 상기 데이터 플로우에 기반하여 상기 노드가 전송하고자 하는 데이터를 처리하도록 구성된, 명령어들을 저장할 수 있다. A router according to an embodiment disclosed herein includes communication circuitry, a processor operatively connected to the communication circuitry, and a memory operatively connected to the processor and storing a connection control application, the memory comprising: When executed by the processor, when the router receives a network connection event of a node through the target application or a network connection event occurs through the target application, identification information of the target application and the node through the access control application Performs a network connection request to an external server based on the identification information of the destination network of, receives a data flow corresponding to the identification information of the target application from the external server, and transmits what the node wants to transmit based on the data flow It may store instructions, configured to process data.

Description

네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법{SYSTEM FOR CONTROLLING NETWORK ACCESS AND METHOD OF THE SAME}System for controlling network access and method therefor

본 문서에 개시된 실시예들은 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법에 관한 것이다. Embodiments disclosed in this document relate to a system and method for controlling network access.

다수의 장치들은 네트워크를 통해서 데이터를 통신할 수 있다. 예를 들어, 단말은 인터넷을 통해 서버와 데이터를 송신하거나 수신할 수 있다. 네트워크는 인터넷과 같은 공용 네트워크(public network)뿐만 아니라 인트라넷과 같은 사설 네트워크(private network)를 포함할 수 있다.Multiple devices may communicate data over a network. For example, the terminal may transmit or receive data with a server through the Internet. The network may include a private network such as an intranet as well as a public network such as the Internet.

사용자가 일반적으로 사용하는 단말이 아닌 산업용 단말 및 IoT(Internet of Things) 등의 단말 및 노드는 유무선 네트워크에 연결 및 통신하기 위한 라우터에 연결된다. Terminals and nodes such as industrial terminals and IoT (Internet of Things), which are not terminals generally used by users, are connected to a router for connection and communication to a wired or wireless network.

라우터는 LTE/5G와 같은 무선 통신 기술을 사용하여 통신사의 무선 네트워크에 연결되거나 유선 네트워크를 통해서 ISP(Internet Service Provider)를 통해 각각 서비스에 접속할 수 있으며, 실질적 통신을 수행하는 단말은 유선 또는 WIFI, LoRa (Long Range), Serial 등 다양한 연결 방식을 통해서 라우터와 연결될 수 있다.The router can be connected to a wireless network of a telecommunications company using wireless communication technology such as LTE/5G or can access services through an Internet Service Provider (ISP) through a wired network. It can be connected to the router through various connection methods such as LoRa (Long Range) and Serial.

산업용 단말과 IoT 단말 등은 저전력 또는 저사양의 단말이거나 자체적인 운영체제를 사용하기 때문에 네트워크 접속 제어 애플리케이션을 설치할 수 없는 문제가 발생할 수 있다. Since industrial terminals and IoT terminals are low-power or low-end terminals or use their own operating systems, a problem in which network access control applications cannot be installed may occur.

이러한 문제점을 해결하기 위해 통신사 및 ISP사는 라우터와 연결된 게이트웨이를 통해서 인터넷 또는 서비스 사이에 네트워크 접속 제어를 수행하고 있으며, 전통적인 방화벽 및 IPS (Intrusion Prevention System) 및 DPI (Deep Packet Inspection) 기술이 사용되며, 라우터를 식별하기 위한 고유의 정보(예: USIM 기반의 Subscriber ID)를 기반으로 할당된 IP를 기준으로 접속 가능한 서비스 IP 정책을 수동으로 등록하는 방법을 사용하고 있지만, 실질적으로 통신의 주체인 단말의 네트워크 접속을 직접적으로 제어하는 것에는 한계가 존재할 수 있다. In order to solve these problems, telecommunications companies and ISPs control network access between the Internet or services through gateways connected to routers, and traditional firewalls, IPS (Intrusion Prevention System) and DPI (Deep Packet Inspection) technologies are used. Although a method of manually registering an accessible service IP policy based on an IP allocated based on unique information (e.g., USIM-based Subscriber ID) for identifying a router is used, There may be limitations in directly controlling network access.

특히, 인터넷 또는 서비스 경계 사이에 존재하는 게이트웨이를 통해서 네트워크 접속 제어를 수행하는 현재의 통신 기술은 라우터로부터 전송되는 모든 데이터 패킷을 수신후 필터링 정책을 통해서 데이터 패킷을 포워딩 할 것인지 여부를 결정하기 때문에 종량제 형태의 데이터 패킷 사용 요금을 지불해야 하는 무선 네트워크 또는 클라우드 네트워크를 사용하면, 통제할 수 없는 단말에 포함된 다양한 애플리케이션으로부터 대용량의 데이터 패킷 전송이 발생됨에 따라서 지나친 요금이 청구되는 문제가 발생할 수 있다. In particular, the current communication technology that controls network access through a gateway that exists between the Internet or service boundaries receives all data packets transmitted from routers and then determines whether to forward the data packets through a filtering policy. If you use a wireless network or a cloud network that requires you to pay a fee for using data packets in the form of data packets, a problem of excessive charges may occur as large-capacity data packet transmission occurs from various applications included in terminals that cannot be controlled.

본 문서에 개시되는 다양한 실시예들은 네트워크 환경에서 상술한 문제점을 해결하기 위한 시스템 및 그에 관한 방법을 제공하고자 한다. Various embodiments disclosed in this document are intended to provide a system and method for solving the above problems in a network environment.

본 문서에 개시된 일 실시예에 따른 라우터는, 통신 회로, 상기 통신 회로와 작동적으로 연결되는 프로세서 및 상기 프로세서와 작동적으로 연결되고, 접속 제어 애플리케이션을 저장하는 메모리를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 라우터가, 상기 대상 애플리케이션을 통해 노드의 네트워크 접속 이벤트를 수신하거나 상기 대상 애플리케이션을 통해 네트워크 접속 이벤트가 발생하면, 상기 접속 제어 애플리케이션을 통해 상기 대상 애플리케이션의 식별 정보, 상기 노드의 목적지 네트워크의 식별 정보에 기반하여 외부 서버에게 네트워크 접속 요청을 수행하고, 상기 외부 서버로부터 상기 대상 애플리케이션의 식별 정보에 대응되는 데이터 플로우를 수신하고, 상기 데이터 플로우에 기반하여 상기 노드가 전송하고자 하는 데이터를 처리하도록 구성된, 명령어들을 저장할 수 있다. A router according to an embodiment disclosed herein includes communication circuitry, a processor operatively connected to the communication circuitry, and a memory operatively connected to the processor and storing a connection control application, the memory comprising: When executed by the processor, when the router receives a network connection event of a node through the target application or a network connection event occurs through the target application, identification information of the target application and the node through the access control application Performs a network connection request to an external server based on the identification information of the destination network of, receives a data flow corresponding to the identification information of the target application from the external server, and transmits what the node wants to transmit based on the data flow It may store instructions, configured to process data.

본 문서에 개시된 일 실시예에 따른 서버는, 통신 회로, 데이터 베이스를 저장하는 메모리 및 상기 통신 회로 및 상기 메모리와 작동적으로 연결되는 프로세서를 포함하고, 상기 프로세서는, 노드와 연결된 라우터로부터 상기 노드의 네트워크 접속 요청을 수신하고, 상기 네트워크 접속 요청은 상기 라우터에 포함된 대상 애플리케이션의 식별 정보, 상기 노드의 목적지 네트워크의 식별 정보를 포함하고, 상기 데이터 베이스, 상기 대상 애플리케이션의 식별 정보, 상기 노드의 목적지 네트워크의 식별 정보에 기반하여 상기 노드가 상기 목적지 네트워크에 접속 가능한지 확인하고, 상기 대상 애플리케이션의 식별 정보, 상기 노드의 목적지 네트워크의 식별 정보에 대응되는 데이터 플로우를 생성하여 상기 라우터 및 게이트웨이에게 전송하도록 구성되고 상기 데이터 플로우는 데이터 패킷 필터링 정보 및 데이터 패킷 QoS 정보를 포함할 수 있다. A server according to an embodiment disclosed in this document includes communication circuitry, a memory for storing a database, and a processor operatively connected to the communication circuitry and the memory, wherein the processor operates from a router connected to a node to the node. Receives a network access request of, wherein the network access request includes identification information of a target application included in the router and identification information of a destination network of the node, and the database, identification information of the target application, and identification information of the node Based on the identification information of the destination network, it is determined whether the node can access the destination network, and a data flow corresponding to the identification information of the target application and the identification information of the destination network of the node is generated and transmitted to the router and gateway. configured and the data flow may include data packet filtering information and data packet QoS information.

본 문서에 개시된 일 실시예에 따른 라우터의 동작 방법은 대상 애플리케이션을 통해 노드의 네트워크 접속 이벤트를 수신하거나 상기 대상 애플리케이션을 통해 네트워크 접속 이벤트가 발생하는 단계, 접속 제어 애플리케이션을 통해 상기 대상 애플리케이션의 식별 정보, 상기 노드의 목적지 네트워크의 식별 정보에 기반하여 외부 서버에게 네트워크 접속 요청을 수행하는 단계, 상기 외부 서버로부터 상기 대상 애플리케이션의 식별 정보에 대응되는 데이터 플로우를 수신하는 단계 및 상기 데이터 플로우에 기반하여 상기 노드가 전송하고자 하는 데이터를 처리하는 단계를 포함할 수 있다. A method of operating a router according to an embodiment disclosed in this document includes receiving a network connection event of a node through a target application or generating a network connection event through the target application, and identification information of the target application through an access control application. , performing a network connection request to an external server based on the identification information of the destination network of the node, receiving a data flow corresponding to the identification information of the target application from the external server, and It may include processing data to be transmitted by the node.

본 문서에 개시되는 실시예들에 따르면, 라우터에 연결된 노드를 식별할 수 있는 최소한의 인증 단계를 포함하며, 실질적 통신을 중계하는 라우터에서 컨트롤러를 통해서 부여받은 데이터 플로우 정보에 기반하여 네트워크 접속 제어를 수행하기 위한 방법을 제공할 수 있다. According to the embodiments disclosed in this document, it includes a minimum authentication step capable of identifying a node connected to a router, and controls network access based on data flow information granted through a controller in a router relaying actual communication. A way to do it can be provided.

또한, 본 문서에 개시되는 실시예들에 따르면, IP 통신이 가능한 물리적 인터페이스를 통해 노드와 라우터에 연결되는 경우가 아닌, 저전력 통신 기술인 LoRa나 산업용 기기에서 사용하는 Serial 포트 연결 방식의 독자적인 프로토콜을 사용하는 노드의 네트워크 접속을 제어할 수 있다.In addition, according to the embodiments disclosed in this document, instead of connecting to a node and a router through a physical interface capable of IP communication, LoRa, a low-power communication technology, or a proprietary protocol of serial port connection used in industrial devices is used. It is possible to control the network access of the node.

또한, 본 문서에 개시되는 실시예들에 따르면, MAC 주소를 모르는 독자적인 프로토콜을 통해 노드의 통신을 중계하는 경우에, 네이티브 프로토콜을 IP 프로토콜로 재전송하기 위한 접속 중계 애플리케이션을 라우터에 포함시켜, 접속 중계 애플리케이션이 노드를 대리하여 네트워크 접속 요청 및 각종 통신을 처리하도록 하는 구조를 제공할 수 있다. In addition, according to the embodiments disclosed in this document, in the case of relaying communication of a node through an independent protocol whose MAC address is unknown, an access relay application for retransmitting the native protocol to an IP protocol is included in the router to relay the connection It is possible to provide a structure that allows an application to process a network connection request and various communications on behalf of a node.

또한, 본 문서에 개시되는 실시예들에 따르면, 접속 중계 애플리케이션을 통해 네이티브 프로토콜을 통해서 노드를 자체적으로 인증하고, 접속 중계 애플리케이션을 통해 네트워크 접속 요청을 수신하는 경우 접속 제어 애플리케이션은 기본적인 통신 주체를 통신 대상 애플리케이션으로 한정하는 것이 가능하여 애플리케이션 단위로 통신을 중계하여 네트워크 접속 제어를 수행할 수 있다. In addition, according to the embodiments disclosed in this document, when a node is self-authenticated through a native protocol through an access relay application and a network access request is received through an access relay application, the access control application communicates a basic communication subject. It is possible to limit it to a target application, so that network access control can be performed by relaying communication on an application-by-application basis.

또한, 본 문서에 개시되는 실시예들에 따르면 네트워크 접속 이벤트가 발생하는 경우, 라우터는 컨트롤러에 접속 가능한 여부를 확인하고 그 결과에 따라 채널을 생성하거나 생성된 채널을 기반으로 네트워크 접속을 허용할 수 있다. In addition, according to the embodiments disclosed in this document, when a network access event occurs, the router may check whether the controller is accessible and create a channel based on the result or allow network access based on the created channel. there is.

또한, 본 문서에 개시되는 실시예들에 따르면 라우터에 설치된 접속 제어 애플리케이션을 통해 라우터에 연결된 노드의 네트워크 접속을 일원화하여 제어할 수 있어 보다 효율적으로 노드의 네트워크 접속을 안전하게 제어할 수 있다. In addition, according to the embodiments disclosed in this document, network access of nodes connected to a router can be unified and controlled through an access control application installed in a router, so that network access of nodes can be more efficiently and safely controlled.

이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다.In addition to this, various effects identified directly or indirectly through this document may be provided.

도 1은 복수의 네트워크를 포함하는 환경을 나타낸다.
도 2는 다양한 실시예들에 따른 네트워크 환경 내의 아키텍처를 나타낸다.
도 3은 다양한 실시예들에 따라 컨트롤러에 저장된 데이터 베이스를 나타내는 기능적 블록도이다.
도 4는 다양한 실시예들에 따른 라우터의 기능적 블록도를 나타낸다.
도 5는 다양한 실시예들에 따라 데이터 패킷의 전송 및 응답을 제어하는 동작을 설명한다.
도 6은 다양한 실시예들에 따른 라우터의 컨트롤러 접속을 위한 신호 흐름도를 나타낸다.
도 7은 다양한 실시예들에 따른 라우터의 인증서 인증을 위한 신호 흐름도를 도시한다.
도 8은 다양한 실시예들에 따른 라우터의 채널 상태 정보 변경을 위한 신호 흐름도를 도시한다.
도 9는 다양한 실시예들에 따른 라우터의 네트워크 접속을 위한 신호 흐름도를 도시한다.
도 10은 다양한 실시예들에 따른 라우터의 데이터 패킷의 전송을 제어하기 위한 동작 흐름도를 도시한다.
도 11은 다양한 실시예들에 따른 라우터의 데이터 패킷의 수신을 제어하기 위한 동작 흐름도를 도시한다.
도 12는 다양한 실시예들에 따른 라우터의 제어 플로우 갱신을 위한 신호 흐름도를 도시한다.
도 13은 다양한 실시예들에 따른 라우터의 접속 해제를 위한 신호 흐름도를 도시한다.
도 14는 다양한 실시예들에 따른 애플리케이션 실행 종료를 위한 신호 흐름도를 도시한다.
도 15는 다양한 실시예들에 따른 라우터에 설치된 접속 제어 애플리케이션의 동작 방법을 나타내는 동작 흐름도이다.
도 16은 다양한 실시예들에 따른 서버의 동작 방법을 나타내는 동작 흐름도이다. 1 shows an environment including a plurality of networks.
2 illustrates an architecture within a network environment according to various embodiments.
3 is a functional block diagram illustrating a database stored in a controller according to various embodiments.
4 shows a functional block diagram of a router in accordance with various embodiments.
5 describes an operation of controlling transmission and response of a data packet according to various embodiments.
6 shows a signal flow diagram for controller access of a router according to various embodiments.
7 illustrates a signal flow diagram for certificate authentication of a router according to various embodiments.
8 illustrates a signal flow diagram for changing channel state information of a router according to various embodiments.
9 illustrates a signal flow diagram for network access of a router according to various embodiments.
10 illustrates an operational flow diagram for controlling transmission of a data packet in a router according to various embodiments.
11 illustrates an operational flow diagram for controlling reception of a data packet by a router according to various embodiments.
12 illustrates a signal flow diagram for updating a control flow of a router according to various embodiments.
13 illustrates a signal flow diagram for disconnection of a router according to various embodiments.
14 illustrates a signal flow diagram for termination of application execution according to various embodiments.
15 is an operation flowchart illustrating a method of operating an access control application installed in a router according to various embodiments.
16 is an operation flowchart illustrating a method of operating a server according to various embodiments.

이하, 본 발명의 다양한 실시예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 실시예의 다양한 변경(modification), 균등물(equivalent), 및/또는 대체물(alternative)을 포함하는 것으로 이해되어야 한다.Hereinafter, various embodiments of the present invention will be described with reference to the accompanying drawings. However, it should be understood that this is not intended to limit the present invention to the specific embodiments, but to cover various modifications, equivalents, and/or alternatives of the embodiments of the present invention.

본 문서에서 아이템에 대응하는 명사의 단수 형은 관련된 문맥상 명백하게 다르게 지시하지 않는 한, 상기 아이템 한 개 또는 복수 개를 포함할 수 있다. 본 문서에서, "A 또는 B", "A 및 B 중 적어도 하나","A 또는 B 중 적어도 하나", "A, B 또는 C", "A, B 및 C 중 적어도 하나" 및 "A, B, 또는 C 중 적어도 하나"와 같은 문구들 각각은 그 문구들 중 해당하는 문구에 함께 나열된 항목들 중 어느 하나, 또는 그들의 모든 가능한 조합을 포함할 수 있다. "제 1", "제 2", 또는 "첫째" 또는 "둘째"와 같은 용어들은 단순히 해당 구성요소를 다른 해당 구성요소와 구분하기 위해 사용될 수 있으며, 해당 구성요소들을 다른 측면(예: 중요성 또는 순서)에서 한정하지 않는다. 어떤(예: 제 1) 구성요소가 다른(예: 제 2) 구성요소에, "기능적으로" 또는 "통신적으로"라는 용어와 함께 또는 이런 용어 없이, "커플드" 또는 "커넥티드"라고 언급된 경우, 그것은 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로(예: 유선으로), 무선으로, 또는 제 3 구성요소를 통하여 연결될 수 있다는 것을 의미한다.In this document, the singular form of a noun corresponding to an item may include one item or a plurality of items, unless the context clearly dictates otherwise. In this document, "A or B", "at least one of A and B", "at least one of A or B", "A, B or C", "at least one of A, B and C" and "A, Each of the phrases such as "at least one of B or C" may include any one of the items listed together in the corresponding one of the phrases, or all possible combinations thereof. Terms such as "first", "second", or "first" or "secondary" may simply be used to distinguish a given component from other corresponding components, and may be used to refer to a given component in another aspect (eg, importance or order) is not limited. A (e.g., first) component is said to be "coupled" or "connected" to another (e.g., second) component, with or without the terms "functionally" or "communicatively." When mentioned, it means that the certain component may be connected to the other component directly (eg by wire), wirelessly, or through a third component.

본 문서에서 설명되는 구성요소들의 각각의 구성요소(예: 모듈 또는 프로그램)는 단수 또는 복수의 개체를 포함할 수 있다. 다양한 실시예들에 따르면, 해당 구성요소들 중 하나 이상의 구성요소들 또는 동작들이 생략되거나, 또는 하나 이상의 다른 구성요소들 또는 동작들이 추가될 수 있다. 대체적으로 또는 추가적으로, 복수의 구성요소들(예: 모듈 또는 프로그램)은 하나의 구성요소로 통합될 수 있다. 이런 경우, 통합된 구성요소는 상기 복수의 구성요소들 각각의 구성요소의 하나 이상의 기능들을 상기 통합 이전에 상기 복수의 구성요소들 중 해당 구성요소에 의해 수행되는 것과 동일 또는 유사하게 수행할 수 있다. 다양한 실시예들에 따르면, 모듈, 프로그램 또는 다른 구성요소에 의해 수행되는 동작들은 순차적으로, 병렬적으로, 반복적으로, 또는 휴리스틱하게 실행되거나, 상기 동작들 중 하나 이상이 다른 순서로 실행되거나, 생략되거나, 또는 하나 이상의 다른 동작들이 추가될 수 있다.Each component (eg, module or program) of the components described in this document may include singular or plural entities. According to various embodiments, one or more components or operations among the corresponding components may be omitted, or one or more other components or operations may be added. Alternatively or additionally, a plurality of components (eg modules or programs) may be integrated into a single component. In this case, the integrated component may perform one or more functions of each of the plurality of components identically or similarly to those performed by a corresponding component of the plurality of components prior to the integration. . According to various embodiments, the actions performed by a module, program, or other component are executed sequentially, in parallel, iteratively, or heuristically, or one or more of the actions are executed in a different order, or omitted. or one or more other actions may be added.

본 문서에서 사용되는 용어 "모듈"은 하드웨어, 소프트웨어 또는 펌웨어로 구현된 유닛을 포함할 수 있으며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로와 같은 용어와 상호 호환적으로 사용될 수 있다. 모듈은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는, 상기 부품의 최소 단위 또는 그 일부가 될 수 있다. 예를 들면, 일 실시예에 따르면, 모듈은 ASIC(application-specific integrated circuit)의 형태로 구현될 수 있다. The term "module" used in this document may include a unit implemented in hardware, software, or firmware, and may be used interchangeably with terms such as logic, logic block, component, or circuit, for example. A module may be an integrally constructed component or a minimal unit of components or a portion thereof that performs one or more functions. For example, according to one embodiment, the module may be implemented in the form of an application-specific integrated circuit (ASIC).

본 문서의 다양한 실시예들은 기기(machine) 의해 읽을 수 있는 저장 매체(storage medium)(예: 메모리)에 저장된 하나 이상의 명령어들을 포함하는 소프트웨어(예: 프로그램 또는 애플리케이션)로서 구현될 수 있다. 예를 들면, 기기의 프로세서는, 저장 매체로부터 저장된 하나 이상의 명령어들 중 적어도 하나의 명령을 호출하고, 그것을 실행할 수 있다. 이것은 기기가 상기 호출된 적어도 하나의 명령어에 따라 적어도 하나의 기능을 수행하도록 운영되는 것을 가능하게 한다. 상기 하나 이상의 명령어들은 컴파일러에 의해 생성된 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장 매체는, 비일시적(non-transitory) 저장 매체의 형태로 제공될 수 있다. 여기서, '비일시적'은 저장 매체가 실재(tangible)하는 장치이고, 신호(signal)(예: 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장 매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다.Various embodiments of this document may be implemented as software (eg, a program or application) including one or more instructions stored in a storage medium (eg, memory) readable by a machine. For example, the processor of the device may call at least one command among one or more commands stored from a storage medium and execute it. This enables the device to be operated to perform at least one function according to the at least one command invoked. The one or more instructions may include code generated by a compiler or code executable by an interpreter. The device-readable storage medium may be provided in the form of a non-transitory storage medium. Here, 'non-temporary' only means that the storage medium is a tangible device and does not contain a signal (e.g. electromagnetic wave), and this term refers to the case where data is stored semi-permanently in the storage medium. It does not discriminate when it is temporarily stored.

본 문서에 개시된 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예: compact disc read only memory(CD-ROM))의 형태로 배포되거나, 또는 애플리케이션 스토어를 통해 또는 두 개의 사용자 장치들(예: 스마트폰들) 간에 직접, 온라인으로 배포(예: 다운로드 또는 업로드)될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품의 적어도 일부는 제조사의 서버, 애플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 기기로 읽을 수 있는 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다. Methods according to various embodiments disclosed in this document may be included and provided in a computer program product. Computer program products may be traded between sellers and buyers as commodities. A computer program product is distributed in the form of a device-readable storage medium (eg compact disc read only memory (CD-ROM)), or through an application store or between two user devices (eg smartphones). It can be distributed (e.g., downloaded or uploaded) directly or online. In the case of online distribution, at least part of the computer program product may be temporarily stored or temporarily created in a device-readable storage medium such as a manufacturer's server, an application store server, or a relay server's memory.

도 1은 복수의 네트워크를 포함하는 환경을 나타낸다. 1 shows an environment including a plurality of networks.

도 1을 참조하면, 제1 네트워크(10) 및 제2 네트워크(20)는 서로 다른 네트워크일 수 있다. 예를 들어, 제1 네트워크(10)는 인터넷과 같은 공용 네트워크이고, 제2 네트워크(20)는 인트라넷 또는 VPN과 같은 사설 네트워크일 수 있다. Referring to FIG. 1 , the first network 10 and the second network 20 may be different networks. For example, the first network 10 may be a public network such as the Internet, and the second network 20 may be a private network such as an intranet or VPN.

제1 네트워크(10)는 출발지 노드(101)를 포함할 수 있다. 도 1 및 이하 서술되는 실시 예들에서, '출발지 노드'는 데이터 통신을 수행할 수 있는 다양한 형태의 장치일 수 있다. 예를 들어, 출발지 노드(101)는 스마트폰 또는 태블릿과 같은 휴대용 장치, 데스크탑(desktop) 또는 랩탑(laptop)과 같은 컴퓨터 장치, 멀티미디어 장치, 의료 기기, 카메라, 웨어러블 장치, VR(virtual reality) 장치, 또는 가전 장치를 포함할 수 있으며 전술한 기기들에 한정되지 않는다. 예를 들어, 출발지 노드(101)는 애플리케이션을 통해 데이터 패킷을 전송할 수 있는 서버 또는 게이트웨이를 포함할 수 있다. 출발지 노드(101)는 '전자 장치' 또는 '단말'로도 참조될 수 있다. 한편, 도착지 노드(102)는 상술한 출발지 노드(101)와 동일 유사한 장치를 포함할 수 있다. 다른 예를 들어, 도착지 노드(102)는 목적지 네트워크와 실질적으로 동일할 수 있다. The first network 10 may include a source node 101 . In FIG. 1 and embodiments described below, the 'source node' may be various types of devices capable of performing data communication. For example, the source node 101 may be a portable device such as a smartphone or tablet, a computer device such as a desktop or laptop, a multimedia device, a medical device, a camera, a wearable device, or a virtual reality (VR) device. , or home appliances, but is not limited to the aforementioned devices. For example, source node 101 may include a server or gateway capable of transmitting data packets through an application. The source node 101 may also be referred to as 'electronic device' or 'terminal'. Meanwhile, the destination node 102 may include the same or similar device as the above-described source node 101 . For another example, the destination node 102 can be substantially the same as the destination network.

출발지 노드(101)는 제2 네트워크(20)로의 접속(access)을 시도하고 제2 네트워크(20)에 포함된 도착지 노드(102)로 데이터를 전송할 수 있다. 출발지 노드(101)는 라우터 또는 게이트웨이(103)를 통해 데이터를 도착지 노드(102)로 전송할 수 있다. The source node 101 may attempt access to the second network 20 and transmit data to the destination node 102 included in the second network 20 . The source node 101 may transmit data to the destination node 102 via a router or gateway 103.

출발지 노드(101)의 제1 네트워크(10)에 대한 접속이 승인되면 출발지 노드(101)는 제1 네트워크(10)에 포함된 모든 서버와 통신할 수 있으므로, 출발지 노드(101)는 악성(malicious) 프로그램의 공격으로부터 노출될 수 있다. 예를 들어, 출발지 노드(101)는 인터넷 웹 브라우저(110a), 비즈니스 애플리케이션(110b)과 같은 신뢰된(trusted) 및/또는 보안된(secure) 애플리케이션뿐만 아니라, 악성 코드(110c), 감염된(infected) 비즈니스 애플리케이션(110d)과 같이 신뢰되지 않거나 보안되지 않은 애플리케이션의 데이터를 수신할 수 있다. If access to the first network 10 of the starting node 101 is approved, since the starting node 101 can communicate with all servers included in the first network 10, the starting node 101 is malicious. ) can be exposed from program attacks. For example, the origin node 101 may be infected with malicious code 110c, as well as trusted and/or secure applications such as Internet web browser 110a and business application 110b. ) may receive data of an untrusted or unsecured application such as the business application 110d.

악성 프로그램으로부터 감염된 출발지 노드(101)는 제2 네트워크(20)로의 접속 및/또는 데이터 전송을 시도할 수 있다. 제2 네트워크(20)가 VPN과 같이 IP에 기반하여 형성되는 경우, 제2 네트워크(20)는 제2 네트워크(20) 내에 포함되는 복수의 장치들을 개별적으로 모니터링하기 어려울 수 있으며, OSI 계층에서 응용 계층 또는 전송 계층에 대한 보안에 취약할 수 있다. 또한, 채널이 이미 생성된 이후에 출발지 노드(101)가 악성 애플리케이션을 포함하는 경우, 상기 악성 애플리케이션의 데이터는 제2 네트워크(20) 내의 다른 전자 장치(예: 도착지 노드(102))에게 전달될 수 있다.The starting node 101 infected by the malicious program may attempt access to the second network 20 and/or data transmission. When the second network 20 is formed based on IP, such as VPN, it may be difficult to individually monitor a plurality of devices included in the second network 20, and application in the OSI layer Security at the layer or transport layer may be vulnerable. In addition, if the source node 101 includes a malicious application after the channel has already been created, the data of the malicious application will be delivered to another electronic device (eg, the destination node 102) within the second network 20. can

도 2는 다양한 실시예들에 따른 네트워크 환경 내의 아키텍처를 나타낸다. 2 illustrates an architecture within a network environment according to various embodiments.

도 2를 참조하면, 노드(231, 232)는 데이터 통신을 수행할 수 있는 다양한 형태의 장치일 수 있다. 다른 예를 들어, 노드(231, 232)는 스마트폰 또는 태블릿과 같은 휴대용 장치, 데스크탑(desktop) 또는 랩탑(laptop)과 같은 컴퓨터 장치, 멀티미디어 장치, 의료 기기, 카메라, 웨어러블 장치, VR(virtual reality) 장치, 또는 가전 장치를 포함할 수 있으며 전술한 기기들에 한정되지 않는다. 예를 들어, 노드(231, 232)는 애플리케이션을 통해 데이터 패킷을 전송할 수 있는 서버 또는 게이트웨이를 포함할 수 있다. 노드(231, 232)는 '전자 장치' 또는 '단말'로도 참조될 수 있다. 실시예에 따르면, 노드(231, 232) 복수개의 노드(예: 제1 노드(231) 및 제2 노드(232))를 포함할 수 있다. Referring to FIG. 2 , nodes 231 and 232 may be various types of devices capable of performing data communication. For another example, the nodes 231 and 232 may be portable devices such as smartphones or tablets, computer devices such as desktops or laptops, multimedia devices, medical devices, cameras, wearable devices, virtual reality (VR) ) device, or a home appliance, but is not limited to the aforementioned devices. For example, nodes 231 and 232 may include servers or gateways capable of transmitting data packets via applications. The nodes 231 and 232 may also be referred to as 'electronic devices' or 'terminals'. According to the embodiment, the nodes 231 and 232 may include a plurality of nodes (eg, the first node 231 and the second node 232).

라우터(201)는 노드(231, 232)와 연결될 수 있다. 예를 들어, 라우터(201)는 연결된 노드(231, 232)가 서비스(233, 234)에 접속하기 위해서는 컨트롤러(202)에 의해서 인가된 데이터 플로우가 존재하여야 통신이 가능한 구조를 제공할 수 있고, 데이터 플로우가 존재하지 않는 경우 노드(231, 232)가 통신을 수행할 수 없는 구조를 제공할 수 있다. 또한, 라우터(201)는 라우터(201)에 연결된 노드(231, 232)의 네트워크 접속 제어를 위하여 접속 제어 애플리케이션(211) 및 네트워크 드라이버를 포함할 수 있다. The router 201 may be connected to nodes 231 and 232 . For example, in order for the connected nodes 231 and 232 to access the services 233 and 234, the router 201 must have a data flow authorized by the controller 202 to provide a structure enabling communication, When there is no data flow, a structure in which nodes 231 and 232 cannot perform communication may be provided. In addition, the router 201 may include an access control application 211 and a network driver to control network access of the nodes 231 and 232 connected to the router 201 .

실시예에 따르면, 라우터(201)는 라우터(201)에 연결된 노드(231, 232)의 네트워크 접속을 중계하는 접속 중계 애플리케이션(212)을 포함할 수 있다. 예를 들어, 접속 중계 애플리케이션(212)은 WIFI, LoRa, Serial 통신 등 독자적인 프로토콜 사용 또는 중계 형태로 동작하는 프로토콜로 통신하는 노드(231, 232)의 네트워크 접속을 중계하기 위한 애플리케이션일 수 있다. 이 경우, 노드(231, 232)가 목적지 네트워크에 접속하기 위해서는 컨트롤러(202)에 의해서 인가된 데이터 플로우가 존재하여야 하고, 데이터 플로우가 존재하지 않는 경우 접속 중계 애플리케이션(212)이 통신을 수행하지 못하는 구조를 제공할 수 있다. According to an embodiment, the router 201 may include an access relay application 212 that relays network access of the nodes 231 and 232 connected to the router 201 . For example, the access relay application 212 may be an application for relaying a network connection of nodes 231 and 232 communicating with a protocol operating in an independent protocol such as WIFI, LoRa, or serial communication or relaying. In this case, in order for the nodes 231 and 232 to access the destination network, a data flow authorized by the controller 202 must exist, and if the data flow does not exist, the access relay application 212 cannot perform communication structure can be provided.

실시예에 따르면, 라우터(201)는 접속 중계 애플리케이션(211)의 네트워크 접속을 위해 접속 제어 애플리케이션(211)과 네트워크 드라이버를 포함할 수 있다. 라우터(201)는 접속 중계 애플리케이션으로부터 수신된 네트워크 접속 발생시, 컨트롤러(202)로부터 접속 가능 여부를 확인하고, 접속이 가능한 경우에만 컨트롤러(202)에서 생성된 데이터 플로우를 통해 접속 대상 네트워크의 경계에 존재하는 게이트웨이(203)로 데이터 패킷을 전송할 수 있다. According to the embodiment, the router 201 may include an access control application 211 and a network driver for network access of the access relay application 211 . When the network connection received from the access relay application occurs, the router 201 checks whether access is possible from the controller 202, and only when the connection is possible exists at the boundary of the access target network through the data flow generated by the controller 202 It is possible to transmit data packets to the gateway 203.

실시예에 따르면, 라우터(201)는 노드(231, 232)로부터 네트워크 접속 요청이 발생하면, 컨트롤러(202)에게 접속 가능 여부를 확인할 수 있고, 접속 가능한 경우에만 컨트롤러(202)에 의해 생성된 데이터 플로우 정보를 통해 서비스(233, 234)를 제공하는 네트워크의 경계에 존재하는 게이트웨이(203)로 데이터 패킷을 전송할 수 있다. According to an embodiment, the router 201 may, when a network access request is generated from the nodes 231 and 232, determine whether access is possible to the controller 202, and data generated by the controller 202 only when the connection is possible. A data packet may be transmitted to the gateway 203 existing at the boundary of the network providing the services 233 and 234 through the flow information.

또한, 서비스(233, 234)를 제공하는 장치는 데이터 통신을 수행할 수 있는 다양한 형태의 장치일 수 있다. 다른 예를 들어, 서비스(233, 234)를 제공하는 장치는 스마트폰 또는 태블릿과 같은 휴대용 장치, 데스크탑(desktop) 또는 랩탑(laptop)과 같은 컴퓨터 장치, 멀티미디어 장치, 의료 기기, 카메라, 웨어러블 장치, VR(virtual reality) 장치, 또는 가전 장치를 포함할 수 있으며 전술한 기기들에 한정되지 않는다. 예를 들어, 서비스(233, 234)를 제공하는 장치는 애플리케이션을 통해 데이터 패킷을 전송할 수 있는 서버 또는 게이트웨이를 포함할 수 있다. 서비스(233, 234)를 제공하는 장치는 '전자 장치' 또는 '단말'로도 참조될 수 있다. Also, devices providing the services 233 and 234 may be various types of devices capable of performing data communication. For another example, the device providing the services 233 and 234 may be a portable device such as a smartphone or tablet, a computer device such as a desktop or laptop, a multimedia device, a medical device, a camera, a wearable device, It may include a virtual reality (VR) device or a home appliance, and is not limited to the above devices. For example, a device providing services 233 and 234 may include a server or gateway capable of transmitting data packets through an application. Devices providing the services 233 and 234 may also be referred to as 'electronic devices' or 'terminals'.

노드(231, 231)는 라우터(201)에 포함된 접속 제어 애플리케이션(211)의 제어를 받고, 서비스(233, 234)를 제공하는 장치로 데이터 패킷을 전송하거나 반대로 데이터 패킷을 수신할 수 있다. 노드(231, 231)에 포함된 애플리케이션 중 일부는 웹 브라우저 또는 비즈니스 애플리케이션과 같이 신뢰된 및/또는 보안된 애플리케이션인 반면에 다른 일부는 신뢰되지 않거나 보안되지 않은 악성 프로그램일 수 있으므로, 실시예들에 따른 네트워크 접속 시스템은 접속 제어 애플리케이션(211)의 네트워크 접속 제어를 통해 인가되지 않은 프로그램(애플리케이션)의 서비스(233, 234)를 제공하는 장치에 대한 접속을 차단하고 해당 프로그램을 격리할 수 있다. The nodes 231 and 231 are controlled by the access control application 211 included in the router 201 and may transmit data packets to devices providing the services 233 and 234 or receive data packets. Some of the applications included in nodes 231, 231 are trusted and/or secured applications, such as web browsers or business applications, while others may be untrusted or unsecured malicious programs; According to the network access system, through the network access control of the access control application 211, an unauthorized program (application) may block access to a device providing the services 233 and 234 and isolate the corresponding program.

컨트롤러(202)는 예를 들어, 서버(또는 클라우드 서버)일 수 있다. 컨트롤러(202)는 라우터(201) 및 서비스(233, 234)를 제공하는 장치 간 데이터 전송을 관리함으로써 네트워크 환경 내에서 신뢰되는 데이터 전송을 보장할 수 있다. 예를 들어, 컨트롤러(202)는 정책 정보 또는 블랙리스트 정보를 통해 인가된 라우터(201)(또는 접속 제어 애플리케이션(211))의 네트워크 접속을 허용할 수 있다. 컨트롤러(202)는 라우터(201)와 서비스(233, 234)를 제공하는 장치 간 인증을 수행할 수 있는 인증 정보를 제공할 수 있다. 따라서, 라우터(201)의 접속 제어 애플리케이션(211)은 허용되지 않은 노드(231, 232)가 허용되지 않은 목적으로 데이터 패킷을 전송하는 것을 방지할 수 있다. The controller 202 may be, for example, a server (or cloud server). The controller 202 manages data transmission between the router 201 and devices providing the services 233 and 234, thereby ensuring reliable data transmission within the network environment. For example, the controller 202 may allow the network access of the router 201 (or the access control application 211) authorized through policy information or blacklist information. The controller 202 may provide authentication information capable of performing authentication between the router 201 and devices providing services 233 and 234 . Accordingly, the access control application 211 of the router 201 can prevent the disallowed nodes 231 and 232 from transmitting data packets for disallowed purposes.

실시예에 따르면, 노드(231, 232)의 네트워크 접속은 접속 제어 애플리케이션(211), 컨트롤러(202) 또는 게이트웨이(203)로부터 차단될 수 있다. 일 실시예에 따르면, 컨트롤러(202)는 라우터(201) 또는 접속 제어 애플리케이션(211)의 네트워크 접속과 연관된 다양한 동작(예: 등록, 승인, 인증, 갱신, 종료)을 수행하기 위하여 접속 제어 애플리케이션(211)과 제어 데이터 패킷을 송수신할 수 있다. 제어 데이터 패킷이 전송되는 흐름(예: 220)은 '제어 플로우(control flow)'로 참조될 수 있다. 실시예에 따르면, 컨트롤러(202)는 연동 시스템(예: 라우터(201), 게이트웨이(203))으로부터 수신된 보안 이벤트에 따라 채널을 즉시 회수함으로서 상시 안전한 네트워크 상태를 유지할 수 있다. 또한 상기와 같은 구조는 게이트웨이(203)와 컨트롤러(202) 사이의 관계에서도 실질적으로 동일하게 적용될 수 있다. According to an embodiment, network access of nodes 231 and 232 may be blocked from access control application 211 , controller 202 or gateway 203 . According to one embodiment, the controller 202 is an access control application (eg, registration, approval, authentication, renewal, termination) associated with the network access of the router 201 or the access control application 211 211) and control data packets can be transmitted and received. A flow through which the control data packet is transmitted (eg, 220) may be referred to as a 'control flow'. According to an embodiment, the controller 202 can maintain a safe network state at all times by immediately recovering a channel according to a security event received from an interworking system (eg, the router 201 and the gateway 203). In addition, the above structure can be substantially equally applied to the relationship between the gateway 203 and the controller 202 .

실시예에 따르면, 컨트롤러(202)는 통신 서비스(206)와 통신할 수 있고, 라우터(201)가 무선 통신 사업자 또는 ISP(Internet Service Provider) 사업자의 고유 네트워크에 연결되어 동작하는 경우, 라우터(201)가 접속 가능한 유효한 대상인지 여부를 확인하기 위하여 통신 서비스(206)에 라우터 접속 허용 여부 검사를 요청하고 그 결과를 수신할 수 있다. According to the embodiment, the controller 202 may communicate with the communication service 206, and when the router 201 is connected to and operating in a unique network of a wireless communication operator or Internet Service Provider (ISP) operator, the router 201 ) may request a router access permission check to the communication service 206 in order to check whether or not it is a valid accessable target, and the result may be received.

다양한 실시예들에 따르면, 라우터(201)는 노드(231, 232)의 네트워크 접속을 관리하기 위한 접속 중계 애플리케이션(212), 접속 제어 애플리케이션(211) 및 네트워크 드라이버(미도시)를 포함할 수 있다. 예를 들어, 노드(231, 232)로부터 서비스(233, 234)를 제공하는 장치에 대한 접속 이벤트가 발생하면, 접속 제어 애플리케이션(211)은 노드(231, 232)의 접속 가능 여부를 결정할 수 있다. 노드(231, 232)가 접속 가능하면, 접속 제어 애플리케이션(211)은 데이터 패킷을 서비스(233, 234)를 제공하는 장치로 보낼 수 있고, 서비스(233, 234)를 제공하는 장치로부터 데이터 패킷을 수신할 수 있다. 접속 제어 애플리케이션(211)은 라우터(201) 내에서 운영체제를 포함하는 커널(kernel) 및 네트워크 드라이버를 통해 데이터 패킷의 전송을 제어할 수 있다. According to various embodiments, the router 201 may include a connection relay application 212 for managing network connections of the nodes 231 and 232, an access control application 211, and a network driver (not shown). . For example, when a connection event occurs for a device providing services 233 and 234 from nodes 231 and 232, the access control application 211 may determine whether or not nodes 231 and 232 can connect. . If nodes 231 and 232 are reachable, access control application 211 can send data packets to devices providing services 233 and 234, and send data packets from devices providing services 233 and 234. can receive The access control application 211 may control transmission of data packets through a kernel including an operating system and a network driver within the router 201 .

실시예에 따르면, 접속 중계 애플리케이션(212)은 대상 애플리케이션으로 참조될 수 있다. 즉, 라우터(201)는 접속 중계 애플리케이션(212) 이외에도 다양한 애플리케이션(예: 대상 애플리케이션)을 포함할 수 있다. 따라서, 라우터(201)의 접속 제어 애플리케이션(211)은 대상 애플리케이션의 네트워크 접속을 제어할 수 있다. 즉, 본 문서의 도 6 내지 도 14에 도시된 동작들은 접속 제어 애플리케이션(211)이 접속 중계 애플리케이션(212) 뿐만 아니라 대상 애플리케이션의 네트워크 접속을 제어하는 경우에도 실질적으로 동일하게 수행될 수 있다. According to an embodiment, the connection relay application 212 may be referred to as a target application. That is, the router 201 may include various applications (eg, target applications) in addition to the access relay application 212 . Accordingly, the access control application 211 of the router 201 can control the network access of the target application. That is, the operations shown in FIGS. 6 to 14 of this document may be performed substantially the same even when the access control application 211 controls the network access of the target application as well as the access relay application 212 .

도 3은 다양한 실시예들에 따라 컨트롤러에 저장된 데이터 베이스를 나타내는 기능적 블록도이다. 도 3은 메모리(330)만을 도시하지만, 컨트롤러는 외부 전자 장치와 통신을 수행하기 위한 통신 회로(예: 도 4의 통신 회로(430)) 및 컨트롤러의 전반적인 동작을 제어하기 위한 프로세서(예: 도 4의 프로세서(410))를 더 포함할 수 있다. 3 is a functional block diagram illustrating a database stored in a controller according to various embodiments. Although FIG. 3 shows only the memory 330, the controller includes a communication circuit for communicating with an external electronic device (eg, the communication circuit 430 of FIG. 4) and a processor for controlling the overall operation of the controller (eg, FIG. Four processors 410) may be further included.

관리자는 컨트롤러(202)에 접속하여 접속 제어 애플리케이션(211)과 게이트웨이(203) 및 서비스(233, 234)를 제공하는 장치 간 접속을 제어하기 위한 연결 중심의 정책을 설정할 수 있으므로, 서비스 단에서 세션을 관리하는 것 보다 세밀하고 안전하게 네트워크 접속을 제어할 수 있다. Since the administrator can connect to the controller 202 and set a connection-oriented policy for controlling access between the access control application 211, the gateway 203, and devices providing the services 233 and 234, the session at the service end You can control network access more precisely and securely than managing

접속 정책 데이터 베이스(311)는 라우터(201)의 식별(라우터 고유 식별 정보, 라우터에 연결된 USIM 식별 정보, MAC 주소 등) 및 인증(인증서 등을 위한 정보를 포함할 수 있다. 예를 들어, 컨트롤러(202)는 접속 제어 애플리케이션(211)의 네트워크 접속 요청 시, 접속 정책 데이터 베이스(311)의 정책에 기반하여 식별된 네트워크(예: 라우터(201)가 속하는 네트워크, 서비스(233, 234)를 제공하는 장치가 속하는 네트워크), 노드 및/또는 애플리케이션(예: 접속 중계 애플리케이션(212))이 목적지(예: 서비스(233, 234)를 제공하는 장치)에 접속이 가능한지 여부를 결정할 수 있다. 실시예에 따르면, 컨트롤러(202)는 라우터(201)에 연결된 노드(231, 232) 또는 접속 중계 애플리케이션(212)의 네트워크 접속 요청 또는 별도의 네트워크 접속 요청 없이 즉시 사용할 수 있도록 접속 정책에 포함된 일련의 정보(MAC 주소와 IP 헤더에 포함된 도착지 IP와 포트 정보, 프로토콜 정보(예: TCP, UDP)에 기반하여 접속 가능 여부를 확인하고 데이터 플로우를 생성할 수 있다. The access policy database 311 may include information for identification of the router 201 (router-specific identification information, USIM identification information connected to the router, MAC address, etc.) and authentication (certificate, etc.). For example, a controller 202 provides the network identified based on the policy of the access policy database 311 (eg, the network to which the router 201 belongs, services 233 and 234 when the access control application 211 requests network access) network to which the device to which the device belongs), node and/or application (eg, access relay application 212) may determine whether or not a destination (eg, a device providing services 233 and 234) is accessible. According to, the controller 202 is a series of information included in the access policy so that the nodes 231 and 232 connected to the router 201 or the access relay application 212 can use it immediately without a network access request or a separate network access request. (Based on the destination IP and port information included in the MAC address and IP header, and protocol information (e.g., TCP, UDP), it is possible to check whether or not the connection is possible and create a data flow.

채널 정책 데이터베이스(312)는 접속 정책에 따라 접속 (Connection) 경로 상에서 라우터(201)가 게이트웨이(203)에 연결할 채널이 필요로 한 경우, 채널의 종류 (터널링 또는 보안 세션 등) 및 암호화 방법 및 수준 정보를 포함할 수 있다. 예를 들어, 컨트롤러(202)는 라우터(201)에 연결된 노드의 네트워크 접속 요청시 접속 중계 애플리케이션(212)을 통해 채널 정책을 기반으로 라우터(201)가 게이트웨이(203)와 통신하기 위한 최적의 채널을 제공할 수 있다. The channel policy database 312 requires a channel to be connected to the gateway 203 by the router 201 on a connection path according to the access policy, the channel type (tunneling or secure session, etc.) and encryption method and level. information may be included. For example, the controller 202 selects an optimal channel for the router 201 to communicate with the gateway 203 based on a channel policy through the access relay application 212 when a node connected to the router 201 requests network access. can provide.

블랙리스트 정책 데이터 베이스(313)는 라우터(201)에서 주기적으로 수집되는 보안 이벤트 중에서 보안 이벤트의 위험도, 발생 주기, 및/또는 행위 분석을 통해 식별된 대상(예: 노드 ID(identifier), IP 주소, MAC(media access control) 주소, 라우터의 식별 정보 중 적어도 어느 하나)의 접속을 차단하기 위한 블랙리스트 등록 정책을 나타낼 수 있다. The blacklist policy database 313 is a target (e.g., node ID (identifier), IP address) identified through analysis of risk, occurrence cycle, and/or behavior of security events among security events periodically collected by the router 201. , a media access control (MAC) address, and identification information of a router) may indicate a blacklist registration policy for blocking access.

블랙리스트 데이터 베이스(314)는 블랙리스트 정책 데이터 베이스(313)에 의해서 차단된 대상에 대한 목록을 포함할 수 있다. 예를 들어, 컨트롤러(202)는 네트워크 접속을 요청하는 라우터(201)의 식별 정보(예: 라우터 고유 식별 정보, 라우터에 연결된 USIM 식별 정보, MAC 주소 등)가 블랙리스트 데이터 베이스(314)에 포함되면 네트워크 접속 요청을 거부함으로써 라우터(201)를 격리시킬 수 있다. The blacklist database 314 may include a list of objects blocked by the blacklist policy database 313 . For example, the controller 202 includes identification information (eg, router unique identification information, USIM identification information connected to the router, MAC address, etc.) of the router 201 requesting network access in the blacklist database 314. Then, the router 201 can be isolated by rejecting the network access request.

제어 플로우 테이블(315)은 라우터(201)와 컨트롤러(202) 사이에 생성된 제어 데이터 패킷의 흐름(예: 제어 플로우)을 관리하기 위한 세션(session) 테이블의 일 예이다. 성공적으로 컨트롤러(202)에 접속하는 경우, 제어 플로우 정보는 컨트롤러(202)에 의하여 생성될 수 있다. 제어 플로우 정보는 제어 플로우의 식별 정보, 컨트롤러에 대한 접속 및 인증 시 식별되는 라우터(201)의 정보를 포함할 수 있다. 예를 들어, 라우터(201)로부터 서비스(233, 234)를 제공하는 장치에 대한 접속이 요청되면 컨트롤러(202)는 라우터(201)로부터 수신된 제어 플로우 식별 정보를 통해 제어 플로우 정보를 검색할 수 있고, 검색된 제어 플로우 정보 내에 포함된 식별 정보를 접속 정책 데이터 베이스(311)에 매핑함으로서 라우터(201) 또는 라우터(201)에 연결된 노드가 서비스(233, 234)를 제공하는 장치에 접속이 가능한지 여부, 데이터 패킷 전송을 위한 데이터 플로우 생성 여부를 판단(결정)할 수 있다. The control flow table 315 is an example of a session table for managing a flow (eg, control flow) of control data packets generated between the router 201 and the controller 202 . When accessing the controller 202 is successful, control flow information may be generated by the controller 202 . The control flow information may include identification information of the control flow and information of the router 201 identified during access and authentication to the controller. For example, when access to a device providing services 233 and 234 is requested from the router 201, the controller 202 may search for control flow information through control flow identification information received from the router 201. and whether the router 201 or a node connected to the router 201 can access devices providing services 233 and 234 by mapping identification information included in the searched control flow information to the access policy database 311 , it is possible to determine (determine) whether to generate a data flow for data packet transmission.

일 실시예에 따르면, 제어 플로우는 만료 시각을 가질 수 있다. 라우터(201)는 제어 플로우의 만료 시각을 갱신해야 하며, 일정 시간 동안에 만료 시각이 갱신되지 않으면 제어 플로우(또는, 제어 플로우 정보)는 제거될 수 있다. 또한, 라우터(201)로부터 수집된 보안 이벤트에 따라서 즉각적인 접속 차단이 필요하다고 결정되는 경우, 컨트롤러(202)는 라우터(201)의 접속 종료 요청에 따라서 제어 플로우를 제거할 수 있다. 제어 플로우가 제거되면 기존에 생성된 데이터 플로우 또한 제거되기 때문에 라우터(201)의 접속이 차단될 수 있다. 즉, 제어 플로우가 제거되면 라우터(201)의 논리적 연결은 해제되어 실질적으로 데이터 패킷을 전송 및 수신할 수 없는 상태가 될 수 있다. According to one embodiment, a control flow may have an expiration time. The router 201 needs to update the expiration time of the control flow, and if the expiration time is not updated for a certain period of time, the control flow (or control flow information) may be removed. In addition, when it is determined that immediate disconnection of access is necessary according to security events collected from the router 201 , the controller 202 may remove the control flow according to the request of the router 201 to terminate the connection. When the control flow is removed, the connection of the router 201 may be blocked because the previously created data flow is also removed. That is, when the control flow is removed, the logical connection of the router 201 is disconnected, so that data packets cannot be transmitted or received.

데이터 플로우 테이블(316)은 라우터(201)에 연결된 노드와 게이트웨이(203) 사이에 세부적인 데이터 패킷이 전송되는 흐름(예: 데이터 플로우)을 관리하기 위한 테이블이다. 데이터 플로우는 라우터(201)에서 동작하는 애플리케이션(예: 접속 중계 애플리케이션(212))의 네트워크 접속 단위로 흐름을 관리할 수 있다. The data flow table 316 is a table for managing a flow (eg, data flow) in which detailed data packets are transmitted between a node connected to the router 201 and the gateway 203 . The data flow may manage the flow in units of network access of applications (eg, the access relay application 212 ) operating in the router 201 .

데이터 플로우를 식별하기 위한 데이터 플로우 식별 정보(예: ID), 라우터(201)의 식별 정보 및 접속 중계 애플리케이션(212)의 식별 정보는 하나 이상의 논리적 연결을 생성할 수 있기 때문에, 데이터 플로우 테이블(316)은 제어 플로우 ID에 기반하여 관리될 수 있다. Since the data flow identification information (eg ID) for identifying the data flow, the identification information of the router 201 and the identification information of the access relay application 212 can create one or more logical connections, the data flow table 316 ) may be managed based on the control flow ID.

실시예에 따르면, 데이터 플로우 테이블(316)은 인가된 대상의 데이터 플로우를 식별하기 위한 접속 중계 애플리케이션(212)의 식별 정보, 접속하고자 하는 서비스 IP 및 포트 정보, 프로토콜 정보(예: TCP, UDP 등), 노드에 할당된 IP, 수신된 네트워크 인터페이스 식별 정보 등의 세부 관리 단위 정보를 포함할 수 있다. 즉, 접속 중계 애플리케이션(212)은 한 개만 존재하는 것이 아니고, 노드의 네트워크 프로토콜에 따라서 다양하게 존재할 수 있기 때문에, 각각의 접속 중계 애플리케이션은 서로 다른 데이터 플로우에 기반하여 네트워크 접속이 제어될 수 있다. According to the embodiment, the data flow table 316 includes identification information of the access relay application 212 for identifying the data flow of the authorized target, service IP and port information to be accessed, and protocol information (eg, TCP, UDP, etc.) ), IP assigned to the node, and detailed management unit information such as received network interface identification information. That is, since there is not only one access relay application 212 and various types of access relay applications may exist according to the network protocol of a node, network access of each access relay application may be controlled based on a different data flow.

실시예에 따르면, 데이터 플로우 테이블(316)은 필터링 정보를 포함할 수 있다. 예를 들어, 필터링 정보는 데이터 플로우의 데이터 패킷 필터링 필요 여부 및 데이터 패킷 필터링 처리 방식, 필터링 정보(예: 개인 정보, 유해 데이터 패킷 정보 등)를 포함하며, 라우터에서 사전에 불필요로 한 또는 위험한 데이터 패킷의 전송을 차단하기 위한 정보일 수 있다. 실시예에 따르면, 데이터 플로우 테이블(316)에 포함되는 필터링 정보는 필터링 정책(317)에 기반하여 컨트롤러(202)에서 결정될 수 있다. According to an embodiment, the data flow table 316 may include filtering information. For example, the filtering information includes whether the data flow needs data packet filtering, how the data packet filtering is handled, and the filtering information (such as personal information, harmful data packet information, etc.). It may be information for blocking packet transmission. According to an embodiment, the filtering information included in the data flow table 316 may be determined by the controller 202 based on the filtering policy 317 .

실시예에 따르면, 데이터 플로우 테이블(316)은 QoS 정보를 포함할 수 있다. 예를 들어, QoS 정보는 데이터 플로우의 데이터 패킷 전송에 대한 QoS (Quality of Service)가 필요로 한 경우 분당 전송 가능한 데이터 패킷의 양을 설정하고 그에 따라 라우터에서 분당 전송 데이터 패킷의 양을 조절하기 위한 일련의 정보일 수 있다. 실시예에 따르면, 데이터 플로우 테이블(316)에 포함되는 QoS 정보는 데이터 패킷 QoS 정책(318)에 기반하여 컨트롤러(202)에서 결정될 수 있다. According to an embodiment, the data flow table 316 may include QoS information. For example, QoS information sets the amount of data packets that can be transmitted per minute when QoS (Quality of Service) for data packet transmission of a data flow is required, and the router adjusts the amount of data packets transmitted per minute accordingly. It can be a set of information. According to an embodiment, the QoS information included in the data flow table 316 may be determined by the controller 202 based on the data packet QoS policy 318 .

실시예에 따르면, 데이터 플로우 테이블(316)은 라우터(201) 또는 게이트웨이(203)에 동일하게 저장될 수 있다. According to an embodiment, the data flow table 316 may be equally stored in the router 201 or the gateway 203 .

필터링 정책 데이터베이스(317)는 접속 정책에 따라 데이터 패킷 필터링 필요 여부 및 데이터 패킷 필터링 처리 방식, 필터링 정보(예: 개인 정보, 유해 데이터 패킷 정보 등)를 포함할 수 있다. 예를 들어, 라우터(201)는 컨트롤러(202)에서 결정된 필터링 정보에 기반하여 사전에 불필요로 한 또는 위험한 데이터 패킷의 전송을 차단할 수 있다. The filtering policy database 317 may include data packet filtering necessity, data packet filtering processing method, and filtering information (eg, personal information, harmful data packet information, etc.) according to the access policy. For example, the router 201 may block transmission of unnecessary or dangerous data packets in advance based on the filtering information determined by the controller 202 .

데이터 패킷 QoS 정책 데이터베이스(318)는 접속 정책에 따라 데이터 패킷 전송에 대한 QoS (Quality of Service)가 필요로 한 경우 분당 전송 가능한 데이터 패킷의 양을 설정하고 그에 따라 라우터(201)에서 분당 전송 데이터 패킷의 양을 조절하기 위한 일련의 정보를 포함할 수 있다. The data packet QoS policy database 318 sets the amount of data packets that can be transmitted per minute when QoS (Quality of Service) for data packet transmission is required according to the access policy, and the router 201 transmits data packets per minute accordingly. It may include a series of information for adjusting the amount of

채널 테이블(319)은 라우터(201)와 게이트웨이(203) 간 생성된 채널의 식별 정보 및 채널의 IP 등을 포함할 수 있다. 예를 들어, 컨트롤러(202)는 채널 테이블(319)에 기반하여 라우터(201)와 게이트웨이(203) 간 채널이 생성되었는지 여부 등을 판단할 수 있다. 또한, 채널 테이블(319)은 라우터(201)와 게이트웨이(203) 사이에 연결된 채널을 관리하기 위한 테이블로써, 유효한 채널이 존재하는 경우 채널을 관리 및 식별하기 위한 채널 ID와 게이트웨이와 컨트롤러 사이의 제어를 위한 제어 플로우 ID 그리고 TEP (터널 엔드 포인트), TSP (터널 스타트 포인트), 채널 알고리즘 및 종류, 암호화 수준 등을 관리하기 위한 부가 정보로 구성될 수 있다. The channel table 319 may include identification information of a channel created between the router 201 and the gateway 203 and IP of the channel. For example, the controller 202 may determine whether or not a channel between the router 201 and the gateway 203 is created based on the channel table 319 . In addition, the channel table 319 is a table for managing channels connected between the router 201 and the gateway 203, and when a valid channel exists, a channel ID for managing and identifying the channel and control between the gateway and the controller. It can be composed of control flow ID for TEP (tunnel end point), TSP (tunnel start point), channel algorithm and type, and additional information for managing encryption level.

보안 검사 정책 데이터베이스(320)는 라우터(201)의 유효성 검사를 위한 보안 검사 정보(예 : 운영체제 및 주요 애플리케이션의 실행 또는 설치 위치, 서명, 핑거프린트, 해쉬, 레지스트리 등 운영체제 및 애플리케이션의 고유 정보, 운영체제 및 주요 애플리케이션의 바이너리 분석을 위한 일련의 정보로써 실행 파일, 실행 파일이 참조하는 라이브러리 및 일련의 파일 또는 프로세스, 메모리 정보, 해당 애플리케이션 및 운영제체가 안전한지 여부를 검사하기 위한 멀웨어 탐지 도구 또는 패턴 DB 정보, 라우터의 하드웨어 및 운영체제 형상 정보 및 버전 정보, 물리적으로 연결 가능한 기기 정보 등) 및 보안 검사 주기, 보안 검사 실패 시 제어 플로우 해제 여부 등의 정보를 포함할 수 있다. The security check policy database 320 includes security check information for validating the router 201 (eg, operating system and main application execution or installation locations, signatures, fingerprints, hashes, unique information of operating systems and applications such as registry, operating system and a series of information for binary analysis of major applications, such as executable files, libraries referenced by executable files, and a series of files or processes, memory information, and malware detection tools or pattern DBs to check whether the applications and operating systems are safe. information, router hardware and operating system configuration information and version information, physically connectable device information, etc.), security check cycle, and information such as whether to release the control flow when the security check fails.

도 4는 다양한 실시예들에 따른 라우터의 기능적 블록도를 나타낸다. 4 shows a functional block diagram of a router in accordance with various embodiments.

도 4를 참조하면, 라우터(201)는 프로세서(410), 메모리(420), 및 통신 회로(430)를 포함할 수 있다. 일 실시 예에 따르면, 라우터(201)는 사용자와 인터페이스를 수행하기 위하여 디스플레이(440)를 더 포함할 수 있다. 실시예에 따르면, 라우터(201)에 연결되는 노드는 라우터(201)와 동일 유사한 구성을 포함할 수 있다. Referring to FIG. 4 , a router 201 may include a processor 410 , a memory 420 , and a communication circuit 430 . According to one embodiment, the router 201 may further include a display 440 to interface with a user. According to an embodiment, a node connected to the router 201 may include the same or similar configuration as the router 201 .

프로세서(410)는 라우터의 전반적인 동작을 제어할 수 있다. 다양한 실시 예들에서, 프로세서(410)는 하나의 프로세서 코어(single core)를 포함하거나, 복수의 프로세서 코어들을 포함할 수 있다. 예를 들면, 프로세서(410)는 듀얼 코어(dual-core), 쿼드 코어(quad-core), 헥사 코어(hexa-core) 등의 멀티 코어(multi-core)를 포함할 수 있다. 실시 예들에 따라, 프로세서(410)는 내부 또는 외부에 위치된 캐시 메모리(cache memory)를 더 포함할 수 있다. 실시 예들에 따라, 프로세서(410)는 하나 이상의 프로세서들로 구성될(configured with) 수 있다. 예를 들면, 프로세서(410)는, 애플리케이션 프로세서(application processor), 통신 프로세서(communication processor), 또는 GPU(graphical processing unit) 중 적어도 하나를 포함할 수 있다. The processor 410 may control the overall operation of the router. In various embodiments, the processor 410 may include a single processor core or may include a plurality of processor cores. For example, the processor 410 may include multi-cores such as dual-core, quad-core, and hexa-core. According to embodiments, the processor 410 may further include an internal or external cache memory. According to embodiments, the processor 410 may be configured with one or more processors. For example, the processor 410 may include at least one of an application processor, a communication processor, or a graphical processing unit (GPU).

프로세서(410)의 전부 또는 일부는 라우터 내의 다른 구성 요소(예를 들면, 메모리(420), 통신 회로(430), 또는 디스플레이(440))와 전기적으로(electrically) 또는 작동적으로(operatively) 결합(coupled with)되거나 연결될(connected to) 수 있다. 프로세서(410)는 라우터의 다른 구성 요소들의 명령을 수신할 수 있고, 수신된 명령을 해석할 수 있으며, 해석된 명령에 따라 계산을 수행하거나 데이터를 처리할 수 있다. 프로세서(410)는 메모리(420), 통신 회로(430), 또는 디스플레이(440)로부터 수신되는 메시지, 데이터, 명령어, 또는 신호를 해석할 수 있고, 가공할 수 있다. 프로세서(410)는 수신된 메시지, 데이터, 명령어, 또는 신호에 기반하여 새로운 메시지, 데이터, 명령어, 또는 신호를 생성할 수 있다. 프로세서(410)는 가공되거나 생성된 메시지, 데이터, 명령어, 또는 신호를 메모리(420), 통신 회로(430), 또는 디스플레이(440)에게 제공할 수 있다. All or part of processor 410 is electrically or operatively coupled to other components within the router (e.g., memory 420, communication circuitry 430, or display 440). (coupled with) or connected to. The processor 410 may receive commands from other elements of the router, interpret the received commands, and perform calculations or process data according to the interpreted commands. The processor 410 may interpret and process messages, data, commands, or signals received from the memory 420 , the communication circuit 430 , or the display 440 . The processor 410 may generate a new message, data, command, or signal based on the received message, data, command, or signal. Processor 410 may provide processed or generated messages, data, instructions, or signals to memory 420 , communication circuitry 430 , or display 440 .

프로세서(410)는 프로그램에서 생성되거나 발생되는 데이터 또는 신호를 처리할 수 있다. 예를 들면, 프로세서(410)는 프로그램을 실행하거나 제어하기 위해 메모리(420)에게 명령어, 데이터 또는 신호를 요청할 수 있다. 프로세서(410)는 프로그램을 실행하거나 제어하기 위해 메모리(420)에게 명령어, 데이터, 또는 신호를 기록(또는 저장)하거나 갱신할 수 있다. The processor 410 may process data or signals generated or generated by a program. For example, the processor 410 may request instructions, data, or signals from the memory 420 to execute or control a program. The processor 410 may record (or store) or update instructions, data, or signals in the memory 420 to execute or control a program.

메모리(420)는 라우터를 제어하는 명령어, 제어 명령어 코드, 제어 데이터, 또는 사용자 데이터를 저장할 수 있다. 예를 들면, 메모리(420)는 애플리케이션(application) 프로그램, OS(operating system), 미들웨어(middleware), 또는 디바이스 드라이버(device driver) 중 적어도 하나를 포함할 수 있다. The memory 420 may store commands for controlling the router, control command codes, control data, or user data. For example, the memory 420 may include at least one of an application program, an operating system (OS), middleware, or a device driver.

메모리(420)는 휘발성 메모리(volatile memory) 또는 불휘발성(non-volatile memory) 중 하나 이상을 포함할 수 있다. 휘발성 메모리는 DRAM(dynamic random access memory), SRAM(static RAM), SDRAM(synchronous DRAM), PRAM(phase-change RAM), MRAM(magnetic RAM), RRAM(resistive RAM), FeRAM(ferroelectric RAM) 등을 포함할 수 있다. 불휘발성 메모리는 ROM(read only memory), PROM(programmable ROM), EPROM(electrically programmable ROM), EEPROM(electrically erasable programmable ROM), 플래시 메모리(flash memory) 등을 포함할 수 있다. The memory 420 may include one or more of volatile memory and non-volatile memory. Volatile memory includes dynamic random access memory (DRAM), static RAM (SRAM), synchronous DRAM (SDRAM), phase-change RAM (PRAM), magnetic RAM (MRAM), resistive RAM (RRAM), and ferroelectric RAM (FeRAM). can include The nonvolatile memory may include read only memory (ROM), programmable ROM (PROM), electrically programmable ROM (EPROM), electrically erasable programmable ROM (EEPROM), flash memory, and the like.

메모리(420)는 하드 디스크 드라이브(HDD, hard disk drive), 솔리드 스테이트 디스크(SSD, solid state disk), eMMC(embedded multi media card), UFS(universal flash storage)와 같은 불휘발성 매체(medium)를 더 포함할 수 있다. The memory 420 uses a nonvolatile medium such as a hard disk drive (HDD), a solid state disk (SSD), an embedded multi media card (eMMC), or a universal flash storage (UFS). can include more.

일 실시예에 따르면, 메모리(420)는 도 2의 접속 제어 애플리케이션(211)을 저장할 수 있다. 접속 제어 애플리케이션(211)은 컨트롤러(202)와의 제어 플로우 생성 및 갱신 기능을 수행할 수 있다. 이를 위하여 접속 제어 애플리케이션(211)은 하나 이상의 보안 모듈을 포함할 수 있다. According to one embodiment, the memory 420 may store the connection control application 211 of FIG. 2 . The access control application 211 may perform control flow creation and update functions with the controller 202 . To this end, the access control application 211 may include one or more security modules.

일 실시예에 따르면, 메모리(420)는 컨트롤러의 메모리(예: 도 3의 메모리(330))에 포함된 정보 중 일부를 저장할 수 있다. 예를 들어, 메모리(420)는 도 3에서 설명된 데이터 플로우 테이블(316)을 저장할 수 있다. According to an embodiment, the memory 420 may store some of the information included in the memory of the controller (eg, the memory 330 of FIG. 3 ). For example, the memory 420 may store the data flow table 316 described in FIG. 3 .

통신 회로(430)는 라우터와 외부 전자 장치(예: 도 2의 컨트롤러(202), 서비스(233, 234)를 제공하는 장치)간의 유선 또는 무선 통신 연결의 수립, 및 수립된 연결을 통한 통신 수행을 지원할 수 있다. 일 실시 예에 따르면, 통신 회로(430)는 무선 통신 회로(예: 셀룰러 통신 회로, 근거리 무선 통신 회로, 또는 GNSS(global navigation satellite system) 통신 회로) 또는 유선 통신 회로(예: LAN(local area network) 통신 회로, 또는 전력선 통신 회로)를 포함하고, 그 중 해당하는 통신 회로를 이용하여 블루투스, WiFi direct 또는 IrDA(infrared data association) 같은 근거리 통신 네트워크 또는 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크와 같은 원거리 통신 네트워크를 통하여 외부 전자 장치와 통신할 수 있다. 상술한 여러 종류의 통신 회로(430)는 하나의 칩으로 구현되거나 또는 각각 별도의 칩으로 구현될 수 있다. The communication circuit 430 establishes a wired or wireless communication connection between the router and an external electronic device (eg, the controller 202 of FIG. 2 and a device providing services 233 and 234) and performs communication through the established connection. can support According to one embodiment, the communication circuit 430 may be a wireless communication circuit (eg, cellular communication circuit, short-range wireless communication circuit, or global navigation satellite system (GNSS) communication circuit) or a wired communication circuit (eg, a local area network (LAN)). ) communication circuit, or power line communication circuit), and using a corresponding communication circuit among them, a short-distance communication network such as Bluetooth, WiFi direct, or IrDA (infrared data association) or a cellular network, a long-distance communication such as the Internet, or a computer network It may communicate with an external electronic device through a network. The various types of communication circuits 430 described above may be implemented as a single chip or may be implemented as separate chips.

디스플레이(440)는, 컨텐츠, 데이터, 또는 신호를 출력할 수 있다. 다양한 실시 예들에서, 디스플레이(440)는 프로세서(410)에 의해 가공된 이미지 데이터를 표시할 수 있다. 실시예들에 따라, 디스플레이(440)는 터치 입력 등을 수신할 수 있는 복수의 터치 센서들(미도시)과 결합됨으로써, 일체형의 터치 스크린(touch screen)으로 구성될(configured with) 수도 있다. 디스플레이(440)가 터치 스크린으로 구성되는 경우, 복수의 터치 센서들은, 디스플레이(440) 위에 배치되거나, 디스플레이(440) 아래에 배치될 수 있다.The display 440 may output content, data, or signals. In various embodiments, the display 440 may display image data processed by the processor 410 . According to embodiments, the display 440 may be configured as an integrated touch screen by being combined with a plurality of touch sensors (not shown) capable of receiving a touch input. When the display 440 is configured as a touch screen, a plurality of touch sensors may be disposed above the display 440 or below the display 440 .

일 실시예에 따른 서버(예: 컨트롤러)는 프로세서(410), 메모리(420), 및 통신 회로(430)를 포함할 수 있다. 서버에 포함되는 프로세서(410), 메모리(420) 및 통신 회로(430)는 상술한 프로세서(410), 메모리(420) 및 통신 회로(430)와 실질적으로 동일할 수 있다. A server (eg, controller) according to an embodiment may include a processor 410 , a memory 420 , and a communication circuit 430 . The processor 410, memory 420, and communication circuit 430 included in the server may be substantially the same as the processor 410, memory 420, and communication circuit 430 described above.

도 5는 다양한 실시예들에 따라 데이터 패킷의 전송을 제어하는 동작을 설명한다.5 describes an operation of controlling transmission of a data packet according to various embodiments.

도 5를 참조하면, 접속 중계 애플리케이션(212)은 라우터(201)에 연결된 노드(231, 232)로부터 독자적인 프로토콜에 기반한 네트워크 접속 요청을 감지할 수 있다. 이 경우, 접속 중계 애플리케이션(212)은 네트워크 접속 이벤트를 접속 제어 애플리케이션(211)에게 전달할 수 있다. 접속 제어 애플리케이션(211)은 라우터(201) 또는 접속 제어 애플리케이션(211)이 컨트롤러(202)와 접속된 상태인지 여부를 결정할 수 있다. 라우터(201) 또는 접속 제어 애플리케이션(211)이 컨트롤러(202)와 접속된 상태가 아닌 경우, 접속 제어 애플리케이션(211)은 운영체제가 포함되는 커널(kernel)이나 네트워크 드라이버에서 데이터 패킷의 전송을 차단할 수 있다. 접속 제어 애플리케이션(211)을 통해, 라우터(201)는 OSI 계층 중 응용 계층에서 악의적인 노드의 접속을 사전에 차단할 수 있다. Referring to FIG. 5 , the access relay application 212 may detect a network access request based on a proprietary protocol from nodes 231 and 232 connected to the router 201 . In this case, the access relay application 212 may deliver the network access event to the access control application 211 . The access control application 211 may determine whether the router 201 or the access control application 211 is connected to the controller 202 . When the router 201 or the access control application 211 is not connected to the controller 202, the access control application 211 may block transmission of data packets in a kernel or network driver including an operating system. there is. Through the access control application 211, the router 201 may block access of malicious nodes in advance in the application layer of the OSI layer.

라우터(201)와 연결된 노드(231, 232)는 반드시 컨트롤러(202)에 접속하여 인증을 수행하여야 하며, 인증 수행 이후 서비스(233, 234)를 제공하는 장치 접속 시, 접속 네트워크 정보를 컨트롤러(202)에 질의하여 접속 가능 여부를 확인하고, 접속이 가능한 경우 데이터 패킷을 서비스(233, 234)를 제공하는 장치로 전송할 수 있다. The nodes 231 and 232 connected to the router 201 must perform authentication by accessing the controller 202, and when accessing a device providing services 233 and 234 after performing authentication, access network information is transmitted to the controller 202. ) to check whether access is possible, and if access is possible, data packets can be transmitted to devices providing services 233 and 234 .

게이트웨이(203)는 라우터(201)로부터 수신된 데이터 패킷을 컨트롤러(202)를 통해서 확인하고, 인가된 라우터(201)가 전송한 데이터 패킷인 경우 응답 데이터 패킷을 라우터(201)로 전송하는 것을 허용할 수 있다. 예를 들어, 게이트웨이(203)는 데이터 패킷이 수신된 라우터(201)와 채널이 생성되어 있는지 여부를 확인하여, 채널이 생성된 경우에만 데이터 패킷을 목적지로 포워딩할 수 있다. The gateway 203 checks the data packet received from the router 201 through the controller 202, and allows transmission of the response data packet to the router 201 if the data packet has been transmitted by the authorized router 201. can do. For example, the gateway 203 may check whether a channel is created with the router 201 from which the data packet is received, and forward the data packet to the destination only when the channel is created.

결과적으로, 비인가 노드는 기본적으로 상호간에 통신을 할 수 없는 상태이고, 인가된 노드도 컨트롤러(202)에서 결정된 채널이 생성되지 않으면 데이터 패킷을 전송 및 수신할 수 없어 본 문서에 개시된 실시예에 따른 네트워크 접속 제어 시스템은 라우터(201)에 연결된 노드가 컨트롤러(202)에게 상호간 연결을 인증하기 이전에는 상호간에 격리된 상태를 제공할 수 있다. As a result, unlicensed nodes are basically unable to communicate with each other, and authorized nodes cannot transmit and receive data packets unless the channel determined by the controller 202 is created. The network access control system may provide a mutually isolated state before nodes connected to the router 201 authenticate the mutual connection to the controller 202 .

도 6은 다양한 실시예들에 따른 컨트롤러 접속을 위한 신호 흐름도를 나타낸다. 6 shows a signal flow diagram for controller connection according to various embodiments.

라우터(201)가 네트워크를 접속 또는 수신하기 위해서는 컨트롤러(202)에 의하여 인가될 필요가 있으므로, 라우터(201)의 접속 제어 애플리케이션(211)은 컨트롤러(202)에게 제어 플로우의 생성을 요청함으로써 라우터(201)의 컨트롤러 접속을 시도할 수 있다. Since the router 201 needs to be authorized by the controller 202 in order to access or receive a network, the access control application 211 of the router 201 requests the controller 202 to create a control flow so that the router ( 201) can try to connect to the controller.

도 6을 참조하면, 라우터(201)는 컨트롤러 접속 이벤트를 감지할 수 있다. 예를 들어, 라우터(201) 내에서 접속 제어 애플리케이션(211)이 설치 및 실행되면, 라우터(201)는 컨트롤러(202)에 대한 접속이 요청됨을 감지할 수 있다. Referring to FIG. 6 , the router 201 may detect a controller connection event. For example, when the access control application 211 is installed and executed in the router 201, the router 201 may detect that access to the controller 202 is requested.

동작 605에서, 라우터(201)는 컨트롤러(202)에게 컨트롤러 접속을 요청할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 접속 제어 애플리케이션(211)의 식별 정보를 컨트롤러(202)에게 전송할 수 있다. 추가적으로, 접속 제어 애플리케이션(211)은 라우터(201)의 식별 정보(예: 라우터 고유 식별 정보, 라우터에 연결된 USIM 식별 정보, MAC 주소 중 적어도 어느 하나) 및/또는 네트워크 시스템에 의하여 자체적으로 생성된 임의의 식별 정보를 더 전송할 수 있다. In operation 605, the router 201 may request controller access from the controller 202. For example, the access control application 211 may transmit identification information of the access control application 211 to the controller 202 . In addition, the access control application 211 is the identification information of the router 201 (eg, at least one of router unique identification information, USIM identification information connected to the router, and MAC address) and/or any information generated by the network system itself. Identification information of may be further transmitted.

동작 610에서, 컨트롤러(202)는 컨트롤러 접속을 요청한 대상(예: 접속 제어 애플리케이션(211) 또는 라우터(201))의 접속 가능 여부를 확인(identify)할 수 있다. 예를 들어, 컨트롤러(202)는 접속 제어 애플리케이션(211)이 접속 요청한 정보(예: 라우터 고유 식별 정보, 라우터에 연결된 USIM 식별 정보, MAC 주소 중 적어도 어느 하나)가 접속 정책 데이터 베이스(311)에 의해 접속 가능한 상태인지 여부, 라우터(201)의 식별 정보(라우터 고유 식별 정보, 라우터에 연결된 USIM 식별 정보, MAC 주소 중 적어도 어느 하나)가 블랙리스트 데이터 베이스(314)에 포함되어 있는지 여부를 검사하여 라우터(201)가 접속 가능한 상태인지 확인할 수 있다. In operation 610, the controller 202 may identify whether or not the controller connection request (eg, the access control application 211 or the router 201) is accessible. For example, the controller 202 stores information requested by the access control application 211 for access (eg, at least one of router unique identification information, USIM identification information connected to the router, and MAC address) in the access policy database 311. It checks whether or not the router 201 is in an accessible state, and whether the identification information of the router 201 (at least one of the router-specific identification information, the USIM identification information connected to the router, and the MAC address) is included in the blacklist database 314. It can be checked whether the router 201 is in an accessible state.

실시예에 따르면, 컨트롤러(202)는 라우터(201)가 무선 통신 사업자 또는 ISP(Internet Service Provider) 사업자의 고유 네트워크에 연결되어 동작하는 경우, 라우터(201)가 접속 가능한 유효한 대상인지 여부를 확인하기 위하여 연결된 통신 서비스에 라우터(201)의 접속 허용 여부 검사를 요청하고 결과를 수신할 수 있다. According to the embodiment, the controller 202 determines whether the router 201 is a valid target that can be accessed when the router 201 is connected to and operating in a unique network of a wireless communication operator or an Internet Service Provider (ISP) operator. In order to do so, it is possible to request an access permission check of the router 201 to a connected communication service and receive a result.

접속 가능하다면, 동작 615에서, 컨트롤러(202)는 라우터(201)(또는 접속 제어 애플리케이션(211))와 컨트롤러(202) 간 제어 플로우를 생성할 수 있다. 이 경우, 컨트롤러(202)는 난수 형태로 제어 플로우 식별 정보를 생성하고, 라우터(201)의 식별 정보(예: 라우터 고유 식별 정보, 라우터에 연결된 USIM 식별 정보, MAC 주소 중 적어도 어느 하나)를 제어 플로우 테이블(315)에 저장할 수 있다. 제어 플로우 테이블(315)에 저장된 정보는 라우터(201)의 인증서 인증, 라우터(201)의 정보 업데이트, 라우터(201)의 네트워크 접속을 위한 정책 확인, 및/또는 유효성 검사에 이용될 수 있다. If the connection is possible, at operation 615 , the controller 202 may create a control flow between the router 201 (or the access control application 211 ) and the controller 202 . In this case, the controller 202 generates control flow identification information in the form of random numbers, and controls identification information of the router 201 (eg, at least one of router-specific identification information, USIM identification information connected to the router, and MAC address) It can be stored in the flow table 315. Information stored in the control flow table 315 may be used for certificate authentication of the router 201 , information update of the router 201 , policy check for network access of the router 201 , and/or validation.

동작 620에서, 컨트롤러(202)는 식별된 정보(예: 라우터 고유 식별 정보, 라우터에 연결된 USIM 식별 정보, MAC 주소 중 적어도 어느 하나)와 대응되는 접속 정책 데이터 베이스(311)에 기반하여 접속 가능한 데이터 플로우를 생성할 수 있다. 또한, 컨트롤러(202)는 접속 결과로서 접속 완료 상태 및 라우터(201)가 추가 인증서 인증 요청 및 지속적인 라우터(201) 정보 업데이트시 제어 플로우를 식별하기 위한 제어 플로우 식별 정보를 접속 제어 애플리케이션(211)에게 반환할 수 있다(동작 625). In operation 620, the controller 202 performs accessible data based on the access policy database 311 corresponding to the identified information (eg, at least one of router-specific identification information, router-connected USIM identification information, and MAC address). flow can be created. In addition, the controller 202 provides the access control application 211 with a connection completion status as a result of the connection and control flow identification information for identifying the control flow when the router 201 requests additional certificate authentication and continuously updates the router 201 information. may return (act 625).

실시예에 따르면, 컨트롤러(202)는 보안 검사 정책(320)에 기반하여 라우터(201)의 유효성을 검사하기 위한 정보(예 : 운영체제 및 주요 애플리케이션의 실행 또는 설치 위치, 서명, 핑거프린트, 해쉬, 레지스트리 등 운영체제 및 애플리케이션의 고유 정보, 운영체제 및 주요 애플리케이션의 바이너리 분석을 위한 일련의 정보로써 실행 파일, 실행 파일이 참조하는 라이브러리 및 일련의 파일 또는 프로세스, 메모리 정보, 해당 애플리케이션 및 운영체제가 안전한지 여부를 검사하기 위한 멀웨어 탐지 도구 또는 패턴 DB 정보, 라우터의 하드웨어 및 운영체제 형상 정보 및 버전 정보, 물리적으로 연결 가능한 기기 정보 중 적어도 어느 하나)를 확인하여 보안 검사 정보를 라우터(201)에게 전송할 수 있다. According to the embodiment, the controller 202 provides information for validating the router 201 based on the security check policy 320 (eg, operating system and main application execution or installation locations, signatures, fingerprints, hashes, As a set of information for binary analysis of operating systems and applications, operating system and application-specific information such as registry, operating files, libraries referenced by executable files, and a series of files or processes, memory information, and whether the corresponding applications and operating systems are safe. Security check information may be transmitted to the router 201 by checking malware detection tool or pattern DB information, router hardware and operating system configuration information and version information, and at least one of physically connectable device information).

동작 625에서, 컨트롤러(202)는 컨트롤러 접속 요청에 대한 응답으로 제어 플로우 식별 정보를 라우터(201)에게 전송할 수 있다. 실시예에 따라 컨트롤러 접속을 요청한 대상이 접속 불가능하거나 블랙리스트에 포함된 경우, 컨트롤러(202)는 제어 플로우를 생성하지 않고 동작 625에서 접속 불가 정보를 전송할 수 있다. 일 실시예에서, 컨트롤러(202)는, 동작 620의 수행을 통하여 확인된 보안 검사 정보를 접속 제어 애플리케이션(211)에게 추가적으로 전송할 수 있다. In operation 625, the controller 202 may transmit control flow identification information to the router 201 in response to the controller access request. Depending on the embodiment, if the object requesting controller access is unavailable or is included in the blacklist, the controller 202 may transmit access unavailability information in operation 625 without generating a control flow. In one embodiment, the controller 202 may additionally transmit the security check information confirmed through the performance of operation 620 to the access control application 211 .

동작 630 에서, 접속 제어 애플리케이션(211)은 보안 검사를 수행할 수 있다. 예를 들어, 라우터(201)는 컨트롤러(202)로부터 보안 검사 정보를 수신하면 수신된 보안 검사 정보(예 : 운영체제 및 주요 애플리케이션의 실행 또는 설치 위치, 서명, 핑거프린트, 해쉬, 레지스트리 등 운영체제 및 애플리케이션의 고유 정보, 운영체제 및 주요 애플리케이션의 바이너리 분석을 위한 일련의 정보로써 실행 파일, 실행 파일이 참조하는 라이브러리 및 일련의 파일 또는 프로세스, 메모리 정보, 해당 애플리케이션 및 운영체제가 안전한지 여부를 검사하기 위한 멀웨어 탐지 도구 또는 패턴 DB 정보, 라우터의 하드웨어 및 운영체제 형상 정보 및 버전 정보, 물리적으로 연결 가능한 기기 정보 중 적어도 어느 하나)에 기반하여 보안 검사를 수행할 수 있다. At operation 630, access control application 211 may perform a security check. For example, when the router 201 receives security check information from the controller 202, the received security check information (eg, operating system and main application execution or installation location, signature, fingerprint, hash, registry, etc.) As a series of information for binary analysis of the unique information of the operating system and major applications, executable files, libraries referenced by the executable files, and a series of files or processes, memory information, and malware detection to check whether the corresponding applications and operating systems are safe. Security inspection may be performed based on at least one of tool or pattern DB information, router hardware and operating system configuration information and version information, and physically connectable device information).

동작 635에서, 접속 제어 애플리케이션(211)은 보안 검사 결과를 컨트롤러(202)에게 전송할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 보안 검사 정보에 기반하여 보안 검사를 수행한 결과를 컨트롤러(202)에게 전송할 수 있다. At operation 635 , access control application 211 may send the security check result to controller 202 . For example, the access control application 211 may transmit a security check result to the controller 202 based on the security check information.

동작 640에서, 컨트롤러(202)는 보안 검사 결과를 검사할 수 있다. 예를 들어, 컨트롤러(202)는 수신된 보안 검사 결과 정보에 기반하여 보안 검사 정책에 따라 보안 검사 정책에서 라우터(201)에 포함된 운영체제 및 애플리케이션 정보가 유효한지 여부를 검사할 수 있다. 실시예에 따르면, 컨트롤러(202)에 포함된 또는 컨트롤러(202)와 연결된 타 시스템에 존재하는 유해 애플리케이션 검사 모듈(Static 검사 또는 AI 기반 검사)을 통해 라우터(201)의 운영체제 및 애플리케이션의 검사 결과가 정상적인지 여부를 판단할 수 있다. At operation 640, the controller 202 may check the security check result. For example, the controller 202 may check whether the operating system and application information included in the router 201 are valid according to the security check policy based on the received security check result information. According to the embodiment, the inspection results of the operating system and applications of the router 201 are checked through a harmful application inspection module (static inspection or AI-based inspection) included in the controller 202 or existing in another system connected to the controller 202. You can judge whether it is normal or not.

실시예에 따르면, 라우터(201)의 운영체제 및 애플리케이션의 검사가 정상적이지 않은 경우, 컨트롤러(202)는 보안 검사 정책(320)에 기반하여 보안 검사 결과의 위험 수준을 평가할 수 있고, 위험 수준에 따라 제어 플로우를 해제하여 라우터(201)의 접속을 차단하거나 블랙리스트에 추가하여 라우터(201)의 접속을 격리할 수 있다. 또한, 이 경우 컨트롤러(202)는 라우터(201)에게 접속 불가 결과를 반환할 수 있다. According to the embodiment, when the inspection of the operating system and application of the router 201 is not normal, the controller 202 may evaluate the risk level of the security inspection result based on the security inspection policy 320, and according to the risk level Access to the router 201 may be blocked by releasing the control flow, or access to the router 201 may be isolated by adding to a blacklist. Also, in this case, the controller 202 may return a connection failure result to the router 201 .

동작 645에서, 컨트롤러(202)는 라우터(201)의 운영체제 및 애플리케이션 검사가 정상적 경우 채널 및 데이터 플로우를 처리할 수 있다. 예를 들어, 컨트롤러(202)는 라우터(201)에서 동작하는 애플리케이션(예: 접속 중계 애플리케이션(212))을 사전에 허용하기 위하여 접속 정책 데이터베이스(311)에 기반하여 애플리케이션의 식별 정보, 해당 애플리케이션이 접속 가능한 도착지 IP, 서비스 포트 정보, 프로토콜 정보 및 데이터 패킷 전송 및 수신량 기록 여부, 데이터 패킷 QoS 여부 및 QoS 수준, 채널 필요 여부, 전송되는 데이터 패킷에서 제거하거나 치환해야 할 유해 정보가 존재하는 경우 이를 필터링하기 위한 정보를 포함하는 데이터 플로우 정보를 생성할 수 있다. In operation 645, the controller 202 may process the channel and data flow when the operating system and application checks of the router 201 are normal. For example, the controller 202, based on the access policy database 311 to allow an application (eg, the access relay application 212) operating in the router 201 in advance, the identification information of the application, the corresponding application Accessible destination IP, service port information, protocol information and data packet transmission and reception records, data packet QoS status and QoS level, whether a channel is required, and if harmful information to be removed or replaced from the transmitted data packet exists, it is indicated. Data flow information including information for filtering may be generated.

또한, 컨트롤러(202)는 라우터(201)의 네트워크 접속을 허용하기 위하여 채널 정책 데이터베이스(312)에서 라우터(201)가 기본 접속 가능한 게이트웨이(203)를 확인할 수 있다. 예를 들어, 기본 접속 가능한 게이트웨이(203)가 존재하면, 컨트롤러(202)는 라우터(201)와 게이트웨이(203) 간 연결할 수 있는 채널 종류(예: 터널, 보안 세션) 및 채널 생성을 위한 일련의 정보(인증 정보, 암호화 알고리즘, Tunnel End Point IP 등)를 포함하는 채널 정보를 생성할 수 있다. In addition, the controller 202 can check the gateway 203 to which the router 201 can connect by default in the channel policy database 312 in order to allow the router 201 to access the network. For example, if there is a default accessible gateway 203, the controller 202 configures a channel type (eg, tunnel, secure session) that can be connected between the router 201 and the gateway 203 and a series of channels for channel creation. Channel information including information (authentication information, encryption algorithm, Tunnel End Point IP, etc.) can be created.

실시예에 따르면, 라우터(201)와 게이트웨이(203) 사이에 채널이 생성되는 구조가 아니고 라우터(201)가 속한 네트워크에 존재하는 통신사의 무선 네트워크 또는 ISP의 네트워크에 존재하는 게이트웨이(203) 사이에 사전에 연결된 채널을 통해서 접속하는 경우, 또는 라우터(201)와 게이트웨이(203) 사이에 타 채널 기술을 통해서 접속하는 경우, 컨트롤러(202)는 별도의 채널 생성 정보를 라우터에 전송하지 않을 수 있다. According to the embodiment, it is not a structure in which a channel is created between the router 201 and the gateway 203, but between the gateway 203 that exists in the wireless network of a telecommunications company or the network of the ISP that exists in the network to which the router 201 belongs. When accessing through a pre-connected channel or when accessing through another channel technology between the router 201 and the gateway 203, the controller 202 may not transmit separate channel creation information to the router.

동작 650에서, 컨트롤러(202)는 생성된 채널 및 데이터 플로우 정보를 라우터(201)에게 전송할 수 있다. 실시예에 따르면, 컨트롤러(202)는 생성된 채널 및 데이터 플로우 정보를 게이트웨이(203)에게도 전송할 수 있다. 실시예예 따르면, 데이터 플로우가 생성되지 않은 경우에는 컨트롤러(202)는 접속 실패 결과를 라우터(201)에 전송하며 데이터 플로우를 전송하지 않을 수 있다. In operation 650, the controller 202 may transmit the generated channel and data flow information to the router 201. According to an embodiment, the controller 202 may transmit the created channel and data flow information to the gateway 203 as well. According to the embodiment, when the data flow is not generated, the controller 202 may transmit a connection failure result to the router 201 and may not transmit the data flow.

동작 655에서, 접속 제어 애플리케이션(211)은 수신된 응답에 따른 결과값을 처리할 수 있다. 예를 들어, 컨트롤러(202) 접속이 완료되면, 라우터(201)에 연결된 노드의 목적지 네트워크에 대한 네트워크 접속 요청은 컨트롤러(202)에 의해 제어될 수 있다.In operation 655, the access control application 211 may process the resulting value according to the received response. For example, when access to the controller 202 is completed, a request for network access to a destination network of a node connected to the router 201 may be controlled by the controller 202 .

다른 실시예에 따라, 컨트롤러(202)는 라우터(201)가 접속 불가능한 것으로 결정할 수 있다. 예를 들어, 라우터(201) 및/또는 라우터(201)가 속한 네트워크의 식별 정보가 블랙리스트 데이터 베이스에 포함되면 컨트롤러(202)는 라우터(201)가 접속 불가능한 것으로 결정할 수 있다. 이 경우, 컨트롤러(202)는 동작 615에서 제어 플로우를 생성하지 않고, 동작 625에서 컨트롤러 접속이 불가능함을 나타내는 응답을 전송할 수 있다. 또한, 이 경우 동작 630 내지 동작 650은 수행되지 않을 수 있다. 실시예에 따라서, 컨트롤러 접속의 재시도가 필요로 한 경우 접속 제어 애플리케이션(211)은 다시 동작 605를 수행할 수 있다. According to another embodiment, the controller 202 may determine that the router 201 is unreachable. For example, if identification information of the router 201 and/or a network to which the router 201 belongs is included in the blacklist database, the controller 202 may determine that the router 201 is inaccessible. In this case, the controller 202 may transmit a response indicating that the controller connection is impossible in operation 625 without generating a control flow in operation 615 . Also, in this case, operations 630 to 650 may not be performed. Depending on the embodiment, if a controller connection needs to be retried, the connection control application 211 may perform operation 605 again.

또한, 접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 수신된 데이터 플로우가 존재하는 경우 라우터(201)의 데이터 플로우를 갱신하여, 네트워크 접속 시 사전에 허용된 데이터 플로우에 기반하여 데이터 패킷을 전송할 수 있도록 데이터 플로우를 관리할 수 있다. 이후 데이터 패킷 전송 요청이 감지되는 경우, 접속 제어 애플리케이션(211)은 수신된 데이터 플로우에 기반하여 전송하고자 하는 데이터 패킷을 처리할 수 있다. In addition, the access control application 211 updates the data flow of the router 201 when the data flow received from the controller 202 exists, and transmits the data packet based on the data flow allowed in advance when accessing the network data flow can be managed. Afterwards, when a data packet transmission request is detected, the access control application 211 may process the data packet to be transmitted based on the received data flow.

실시예에 따르면, 접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 네트워크 접속 해제 정보를 수신한 경우, 애플리케이션을 종료하거나, 애플리케이션의 모든 네트워크 접속을 차단할 수 있다. According to an embodiment, when receiving network connection release information from the controller 202, the access control application 211 may terminate the application or block all network access of the application.

실시예에 따르면, 접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 수신된 채널 정보가 존재하고 생성해야 할 채널이 존재하는 경우, 채널 정보에 기반하여 게이트웨이(203)에게 채널 생성 요청을 수행하여 채널을 생성할 수 있다. According to the embodiment, the access control application 211 performs a channel creation request to the gateway 203 based on the channel information when the channel information received from the controller 202 exists and the channel to be created exists, and the channel creation request is made. can create

도 7은 다양한 실시예들에 따른 인증서 인증을 위한 신호 흐름도를 도시한다. 7 illustrates a signal flow diagram for certificate authentication according to various embodiments.

라우터(201)는 UI(User Interface)를 통해서 사용자 인증을 수행할 수도 있지만, 서버 형태로 동작하는 라우터(201)의 경우 UI가 없이 사용자 인증이 아닌 사전에 발급받은 인증서를 기반으로 인증을 수행할 수도 있다. 이 경우, 라우터(201)는 UI가 없는 상황에서 인증서를 기반으로 인증을 수행할 수 있어야 한다. The router 201 may perform user authentication through a user interface (UI), but in the case of the router 201 operating in the form of a server, authentication may be performed based on a certificate issued in advance rather than user authentication without a UI. may be In this case, the router 201 should be able to perform authentication based on certificates in a situation where there is no UI.

동작 705에서, 라우터(201)의 접속 제어 애플리케이션(211)은 컨트롤러(202)와의 제어 플로우 생성 이후 네트워크의 상세한 접속 권한을 부여받기 위해 라우터 인증서 인증을 수행할 수 있다. 예를 들어, 라우터(201)의 접속 제어 애플리케이션(211)은 라우터(201)에 설정된 인증서를 통해서 생서된 인증 정보를 컨트롤러(202)에게 전송하며 인증서 인증을 요청할 수 있다. In operation 705 , the access control application 211 of the router 201 may perform router certificate authentication in order to receive detailed network access rights after the control flow is created with the controller 202 . For example, the access control application 211 of the router 201 may transmit authentication information generated through a certificate set in the router 201 to the controller 202 and request certificate authentication.

동작 710에서, 컨트롤러(202)는 인증서 인증을 확인할 수 있다. 예를 들어, 컨트롤러(202)는 접속 제어 애플리케이션(211)이 인증 요청한 정보(예: 인증 식별 정보, 전자서명 정보 등)를 기반으로 접속 가능한 인증서 여부와 인증서에 대응되는 라우터 정보(예: 라우터 고유 식별 정보, 라우터에 연결된 USIM 식별 정보, MAC 주소 중 적어도 어느 하나)가 정책에 의해 접속 가능한 상태인지 여부를 확인할 수 있다. 또한, 컨트롤러(202)는 인증서 식별 정보가 블랙리스트(314)에 포함되어 있는지 여부를 검사하여, 인증 요청한 인증서가 차단되어 있는지 여부를 확인할 수 있다. 실시예에 따르면, 접속이 불가능하거나 인증서가 블랙리스트에 포함된 경우 컨트롤러(202)는 라우터(201)에게 접속 불가 정보를 전송할 수 있다(동작 725). At operation 710, the controller 202 may verify certificate authentication. For example, the controller 202 determines whether or not a certificate is accessible based on the information requested by the access control application 211 for authentication (eg, authentication identification information, digital signature information, etc.) and router information corresponding to the certificate (eg, unique to the router). It is possible to check whether at least one of identification information, USIM identification information connected to a router, and MAC address) is in an accessible state according to a policy. In addition, the controller 202 may check whether the certificate identification information is included in the blacklist 314 to determine whether the certificate requested for authentication is blocked. According to the embodiment, if access is impossible or the certificate is included in the blacklist, the controller 202 may transmit access impossible information to the router 201 (operation 725).

실시예에 따르면, 컨트롤러(202)는 라우터(201)가 무선 통신 사업자 또는 ISP (Internet Service Provider) 사업자의 고유 네트워크에 연결되어 동작하는 경우, 라우터(201)가 접속 가능한 유효한 대상인지 여부를 확인하기 위해서 연결된 통신 서비스에 라우터 접속 허용 여부 검사를 요청하고 그 결과를 수신할 수 있다. According to an embodiment, the controller 202 determines whether the router 201 is a valid target that can be accessed when the router 201 is connected to and operating in a unique network of a wireless communication operator or Internet Service Provider (ISP) operator. In order to do so, a connected communication service may be requested to check whether access to a router is permitted, and the result thereof may be received.

동작 715에서, 접속 가능한 인증서인 경우, 컨트롤러(202)는 전송한 제어 플로우 식별 정보에 대응되는 제어 플로우를 검색하고, 검색된 제어 플로우에 인증서 식별 정보를 추가할 수 있다. 실시예에 따르면, 컨트롤러(202)는 인증서 인증의 결과로 인증서 인증 완료 상태 및 인증된 인증서의 접속 정책 정보를 라우터(201)로 반환할 수 있다(동작 725). In operation 715, if the certificate is accessible, the controller 202 may search for a control flow corresponding to the transmitted control flow identification information and add the certificate identification information to the searched control flow. According to the embodiment, the controller 202 may return the certificate authentication completion status and access policy information of the authenticated certificate to the router 201 as a result of certificate authentication (operation 725).

동작 720에서, 컨트롤러(202)는 식별된 정보(인증서 식별 정보, 라우터 고유 식별 정보, 라우터에 연결된 USIM 식별 정보, MAC 주소 등)와 대응되는 접속 정책 데이터 베이스(311)에 기반하여 접속 가능한 데이터 플로우 정보를 생성할 수 있다. In operation 720, the controller 202 determines the accessible data flow based on the access policy database 311 corresponding to the identified information (certificate identification information, router unique identification information, USIM identification information connected to the router, MAC address, etc.) information can be generated.

실시예에 따르면, 컨트롤러(202)는 보안 검사 정책(320)에 기반하여 라우터(201)의 유효성을 검사하기 위한 정보(예 : 운영체제 및 주요 애플리케이션의 실행 또는 설치 위치, 서명, 핑거프린트, 해쉬, 레지스트리 등 운영체제 및 애플리케이션의 고유 정보, 운영체제 및 주요 애플리케이션의 바이너리 분석을 위한 일련의 정보로써 실행 파일, 실행 파일이 참조하는 라이브러리 및 일련의 파일 또는 프로세스, 메모리 정보, 해당 애플리케이션 및 운영체제가 안전한지 여부를 검사하기 위한 멀웨어 탐지 도구 또는 패턴 DB 정보, 라우터의 하드웨어 및 운영체제 형상 정보 및 버전 정보, 물리적으로 연결 가능한 기기 정보 중 적어도 어느 하나)를 확인하여 보안 검사 정보를 라우터(201)에게 전송할 수 있다. According to the embodiment, the controller 202 provides information for validating the router 201 based on the security check policy 320 (eg, operating system and main application execution or installation locations, signatures, fingerprints, hashes, As a set of information for binary analysis of operating systems and applications, operating system and application-specific information such as registry, operating files, libraries referenced by executable files, and a series of files or processes, memory information, and whether the corresponding applications and operating systems are safe. Security check information may be transmitted to the router 201 by checking malware detection tool or pattern DB information, router hardware and operating system configuration information and version information, and at least one of physically connectable device information).

동작 725에서, 컨트롤러(202)는 인증서 인증 요청에 대한 응답으로써 인증서가 인증됨을 나타내는 정보를 라우터(201)에게 전송할 수 있다. 일 실시예에서, 컨트롤러(202)는, 동작 720의 수행을 통하여 생성된 보안 검사 정보를 접속 제어 애플리케이션(211)에게 전송할 수 있다.In operation 725, the controller 202 may transmit information indicating that the certificate is authenticated to the router 201 as a response to the certificate authentication request. In one embodiment, the controller 202 may transmit the security check information generated through the performance of operation 720 to the access control application 211 .

동작 730에서, 접속 제어 애플리케이션(211)은 보안 검사를 수행할 수 있다. 예를 들어, 라우터(201)는 컨트롤러(202)로부터 보안 검사 정보를 수신하면 수신된 보안 검사 정보(예 : 운영체제 및 주요 애플리케이션의 실행 또는 설치 위치, 서명, 핑거프린트, 해쉬, 레지스트리 등 운영체제 및 애플리케이션의 고유 정보, 운영체제 및 주요 애플리케이션의 바이너리 분석을 위한 일련의 정보로써 실행 파일, 실행 파일이 참조하는 라이브러리 및 일련의 파일 또는 프로세스, 메모리 정보, 해당 애플리케이션 및 운영체제가 안전한지 여부를 검사하기 위한 멀웨어 탐지 도구 또는 패턴 DB 정보, 라우터의 하드웨어 및 운영체제 형상 정보 및 버전 정보, 물리적으로 연결 가능한 기기 정보 중 적어도 어느 하나)에 기반하여 보안 검사를 수행할 수 있다. At operation 730, access control application 211 may perform a security check. For example, when the router 201 receives security check information from the controller 202, the received security check information (eg, operating system and main application execution or installation location, signature, fingerprint, hash, registry, etc.) As a series of information for binary analysis of the unique information of the operating system and major applications, executable files, libraries referenced by the executable files, and a series of files or processes, memory information, and malware detection to check whether the corresponding applications and operating systems are safe. Security inspection may be performed based on at least one of tool or pattern DB information, router hardware and operating system configuration information and version information, and physically connectable device information).

동작 735에서, 접속 제어 애플리케이션(211)은 보안 검사 결과를 컨트롤러(202)에게 전송할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 보안 검사 정보에 기반하여 보안 검사를 수행한 결과를 컨트롤러(202)에게 전송할 수 있다. At operation 735 , access control application 211 may send the security check result to controller 202 . For example, the access control application 211 may transmit a security check result to the controller 202 based on the security check information.

동작 740에서, 컨트롤러(202)는 보안 검사 결과를 검사할 수 있다. 예를 들어, 컨트롤러(202)는 수신된 보안 검사 결과 정보에 기반하여 보안 검사 정책에 따라 보안 검사 정책에서 라우터(201)에 포함된 운영체제 및 애플리케이션 정보가 유효한지 여부를 검사할 수 있다. 실시예에 따르면, 컨트롤러(202)에 포함된 또는 컨트롤러(202)와 연결된 타 시스템에 존재하는 유해 애플리케이션 검사 모듈(Static 검사 또는 AI 기반 검사)을 통해 라우터(201)의 운영체제 및 애플리케이션의 검사 결과가 정상적인지 여부를 판단할 수 있다. At operation 740, the controller 202 may check the security check result. For example, the controller 202 may check whether the operating system and application information included in the router 201 are valid according to the security check policy based on the received security check result information. According to the embodiment, the inspection results of the operating system and applications of the router 201 are checked through a harmful application inspection module (static inspection or AI-based inspection) included in the controller 202 or existing in another system connected to the controller 202. You can judge whether it is normal or not.

실시예에 따르면, 라우터(201)의 운영체제 및 애플리케이션의 검사가 정상적이지 않은 경우, 컨트롤러(202)는 보안 검사 정책(320)에 기반하여 보안 검사 결과의 위험 수준을 평가할 수 있고, 위험 수준에 따라 제어 플로우를 해제하여 라우터(201)의 접속을 차단하거나 블랙리스트에 추가하여 라우터(201)의 접속을 격리할 수 있다. 또한, 이 경우 컨트롤러(202)는 라우터(201)에게 접속 불가 결과를 반환할 수 있다. According to the embodiment, when the inspection of the operating system and application of the router 201 is not normal, the controller 202 may evaluate the risk level of the security inspection result based on the security inspection policy 320, and according to the risk level Access to the router 201 may be blocked by releasing the control flow, or access to the router 201 may be isolated by adding to a blacklist. Also, in this case, the controller 202 may return a connection failure result to the router 201 .

동작 745에서, 컨트롤러(202)는 라우터(201)의 운영체제 및 애플리케이션 검사가 정상적 경우 채널 및 데이터 플로우를 처리할 수 있다. 예를 들어, 컨트롤러(202)는 라우터(201)에서 동작하는 애플리케이션(예: 접속 중계 애플리케이션(212))을 사전에 허용하기 위하여 접속 정책 데이터베이스(311)에 기반하여 애플리케이션의 식별 정보, 해당 애플리케이션이 접속 가능한 도착지 IP, 서비스 포트 정보, 프로토콜 정보 및 데이터 패킷 전송 및 수신량 기록 여부, 데이터 패킷 QoS 여부 및 QoS 수준, 채널 필요 여부, 전송되는 데이터 패킷에서 제거하거나 치환해야 할 유해 정보가 존재하는 경우 이를 필터링하기 위한 정보를 포함하는 데이터 플로우 정보를 생성할 수 있다. In operation 745, the controller 202 may process the channel and data flow when the operating system and application checks of the router 201 are normal. For example, the controller 202, based on the access policy database 311 to allow an application (eg, the access relay application 212) operating in the router 201 in advance, the identification information of the application, the corresponding application Accessible destination IP, service port information, protocol information and data packet transmission and reception records, data packet QoS status and QoS level, whether a channel is required, and if harmful information to be removed or replaced from the transmitted data packet exists, it is indicated. Data flow information including information for filtering may be generated.

또한, 컨트롤러(202)는 라우터(201)의 네트워크 접속을 허용하기 위하여 채널 정책 데이터베이스(312)에서 라우터(201)가 기본 접속 가능한 게이트웨이(203)를 확인할 수 있다. 예를 들어, 기본 접속 가능한 게이트웨이(203)가 존재하면, 컨트롤러(202)는 라우터(201)와 게이트웨이(203) 간 연결할 수 있는 채널 종류(예: 터널, 보안 세션) 및 채널 생성을 위한 일련의 정보(인증 정보, 암호화 알고리즘, Tunnel End Point IP 등)를 포함하는 채널 정보를 생성할 수 있다. In addition, the controller 202 can check the gateway 203 to which the router 201 can connect by default in the channel policy database 312 in order to allow the router 201 to access the network. For example, if there is a default accessible gateway 203, the controller 202 configures a channel type (eg, tunnel, secure session) that can be connected between the router 201 and the gateway 203 and a series of channels for channel creation. Channel information including information (authentication information, encryption algorithm, Tunnel End Point IP, etc.) can be created.

실시예에 따르면, 라우터(201)와 게이트웨이(203) 사이에 채널이 생성되는 구조가 아니고 라우터(201)가 속한 네트워크에 존재하는 통신사의 무선 네트워크 또는 ISP의 네트워크에 존재하는 게이트웨이(203) 사이에 사전에 연결된 채널을 통해서 접속하는 경우, 또는 라우터(201)와 게이트웨이(203) 사이에 타 채널 기술을 통해서 접속하는 경우, 컨트롤러(202)는 별도의 채널 생성 정보를 라우터에 전송하지 않을 수 있다. According to the embodiment, it is not a structure in which a channel is created between the router 201 and the gateway 203, but between the gateway 203 that exists in the wireless network of a telecommunications company or the network of the ISP that exists in the network to which the router 201 belongs. When accessing through a pre-connected channel or when accessing through another channel technology between the router 201 and the gateway 203, the controller 202 may not transmit separate channel creation information to the router.

동작 750에서, 컨트롤러(202)는 생성된 채널 및 데이터 플로우 정보를 라우터(201)에게 전송할 수 있다. 실시예에 따르면, 컨트롤러(202)는 생성된 채널 및 데이터 플로우 정보를 게이트웨이(203)에게도 전송할 수 있다. 실시예예 따르면, 데이터 플로우가 생성되지 않은 경우에는 컨트롤러(202)는 접속 실패 결과를 라우터(201)에 전송하며 데이터 플로우를 전송하지 않을 수 있다. In operation 750 , the controller 202 may transmit the generated channel and data flow information to the router 201 . According to an embodiment, the controller 202 may transmit the created channel and data flow information to the gateway 203 as well. According to the embodiment, when the data flow is not generated, the controller 202 may transmit a connection failure result to the router 201 and may not transmit the data flow.

동작 755에서, 접속 제어 애플리케이션(211)은 수신된 응답에 따른 결과값을 처리할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 수신된 제어 플로우 식별 정보를 저장하고 인증서 인증이 완료됨을 나타내는 사용자 인터페이스 화면을 사용자에게 표시할 수 있다. 인증서 인증이 완료되면, 라우터(201)의 목적지 네트워크에 대한 네트워크 접속 요청은 컨트롤러(202)에 의해 제어될 수 있다.In operation 755, the access control application 211 may process the resulting value according to the received response. For example, the access control application 211 may store the received control flow identification information and display a user interface screen indicating completion of certificate authentication to the user. When certificate authentication is completed, the router 201 requesting network access to the destination network may be controlled by the controller 202 .

다른 실시예에 따르면, 컨트롤러(202)는 라우터(201)의 인증서 인증이 불가능한 것으로 결정할 수 있다. 예를 들어, 라우터(201) 및/또는 라우터(201)가 속한 네트워크의 식별 정보가 블랙리스트 데이터 베이스에 포함되면 컨트롤러(202)는 라우터(201)가 접속 불가능 및 인증서 인증이 불가능한 것으로 결정할 수 있다. 이 경우, 컨트롤러(202)는 동작 715에서 인증서 식별 정보를 반영하지 않고, 동작 725에서 컨트롤러 접속이 불가능함을 나타내는 응답을 전송할 수 있다. 또한, 이 경우 동작 730 내지 동작 750은 수행되지 않을 수 있다. According to another embodiment, the controller 202 may determine that certificate authentication of the router 201 is impossible. For example, if identification information of the router 201 and/or a network to which the router 201 belongs is included in the blacklist database, the controller 202 may determine that the router 201 is inaccessible and certificate authentication is impossible. . In this case, the controller 202 may transmit a response indicating that access to the controller is impossible in operation 725 without reflecting the certificate identification information in operation 715 . Also, in this case, operations 730 to 750 may not be performed.

또한, 접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 수신된 데이터 플로우가 존재하는 경우 라우터(201)의 데이터 플로우를 갱신하여, 네트워크 접속 시 사전에 허용된 데이터 플로우에 기반하여 데이터 패킷을 전송할 수 있도록 데이터 플로우를 관리할 수 있다. In addition, the access control application 211 updates the data flow of the router 201 when the data flow received from the controller 202 exists, and transmits the data packet based on the data flow allowed in advance when accessing the network data flow can be managed.

실시예에 따르면, 접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 네트워크 접속 해제 정보를 수신한 경우, 애플리케이션을 종료하거나, 애플리케이션의 모든 네트워크 접속을 차단할 수 있다. According to an embodiment, when receiving network connection release information from the controller 202, the access control application 211 may terminate the application or block all network access of the application.

도 8은 다양한 실시예들에 따른 채널 상태 정보 변경을 위한 신호 흐름도를 도시한다. 8 illustrates a signal flow diagram for changing channel state information according to various embodiments.

라우터(201)의 접속 제어 애플리케이션(211)은 채널 생성이 완료되거나, 채널 생성에 실패한 경우, 생성된 채널의 접속이 해제되는 경우, 등 채널의 상태가 변경되면 컨트롤러(202)에게 채널 상태 정보 변경을 요청할 수 있다. The access control application 211 of the router 201 changes the channel state information to the controller 202 when the channel state is changed, such as when channel creation is completed, channel creation fails, or when the connection to the created channel is released. can request

동작 805에서, 접속 제어 애플리케이션(211)은 채널 생성이 완료되거나, 채널 생성에 실패한 경우, 생성된 채널의 접속이 해제되는 경우 채널 상태 정보 변경 이벤트를 감지할 수 있다. In operation 805, the access control application 211 may detect a channel state information change event when channel creation is completed, when channel creation fails, or when access to the created channel is released.

동작 810에서, 접속 제어 애플리케이션(211)은 채널 상태 정보를 컨트롤러(202)에게 전송할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 채널 생성이 완료된 경우 채널 식별 정보 및 채널 생성시 부여받은 고유의 IP가 존재하는 경우 IP 정보를 전송할 수 있다. 다른 예를 들어, 접속 제어 애플리케이션(211)은 채널 생성에 실패하였거나 채널이 해제된 경우, 채널 식별 정보를 컨트롤러(202)에게 전송할 수 있다. At operation 810 , the connection control application 211 may transmit channel state information to the controller 202 . For example, the access control application 211 may transmit IP information when channel identification information and a unique IP given at the time of channel creation exist when channel creation is complete. For another example, the access control application 211 may transmit channel identification information to the controller 202 when channel creation fails or the channel is released.

동작 815에서, 컨트롤러(202)는 채널 상태 및 데이터 플로우를 갱신할 수 있다. 예를 들어, 컨트롤러(202)는 라우터(201)로부터 수신된 채널 상태 정보 및 라우터(201)에 할당된 IP 정보에 기반하여 채널 상태를 갱신할 수 있다. At operation 815, the controller 202 may update the channel status and data flow. For example, the controller 202 may update the channel state based on channel state information received from the router 201 and IP information allocated to the router 201 .

실시예에 따르면, 채널 생성이 완료된 경우, 컨트롤러(202)는 라우터(201)에서 동작하는 애플리케이션(예: 접속 중계 애플리케이션(212))을 사전에 허용하기 위하여 접속 정책 데이터베이스(311)에 기반하여 애플리케이션의 식별 정보, 해당 애플리케이션이 접속 가능한 도착지 IP, 서비스 포트 정보, 프로토콜 정보 및 데이터 패킷 전송 및 수신량 기록 여부, 데이터 패킷 QoS 여부 및 QoS 수준, 채널 필요 여부, 전송되는 데이터 패킷에서 제거하거나 치환해야 할 유해 정보가 존재하는 경우 이를 필터링하기 위한 정보를 포함하는 데이터 플로우 정보를 생성할 수 있다. According to the embodiment, when the channel creation is completed, the controller 202, based on the access policy database 311 to pre-allow an application (eg, access relay application 212) operating in the router 201, the application Identification information of the application, destination IP accessible to the application, service port information, protocol information and data packet transmission and reception records, data packet QoS status and QoS level, whether a channel is required, whether to be removed or replaced from the transmitted data packet When harmful information exists, data flow information including information for filtering out harmful information may be generated.

실시예에 따르면, 채널이 해제되거나 채널 생성에 실패한 경우, 컨트롤러(202)는 기존에 생성된 채널 정보 및 데이터 플로우를 제거할 수 있다. According to an embodiment, when a channel is released or channel creation fails, the controller 202 may remove previously created channel information and data flow.

동작 820 및 동작 825에서 컨트롤러(202)는 갱신된 데이터 플로우를 라우터(201) 및 게이트웨이(203)에게 전송할 수 있다. 또한, 컨트롤러(202)는 갱신된 채널 정보도 전송할 수 있다. In operations 820 and 825 , the controller 202 may transmit the updated data flow to the router 201 and the gateway 203 . In addition, the controller 202 may also transmit updated channel information.

도 9는 다양한 실시예들에 따른 네트워크 접속을 위한 신호 흐름도를 도시한다. 9 illustrates a signal flow diagram for network access according to various embodiments.

라우터(201)가 컨트롤러(202)로부터 인가된 이후에, 라우터(201)는 라우터(201)의 접속 제어 애플리케이션(211)을 통해 라우터(201)에 연결된 노드들의 네트워크 접속을 제어함으로서 신뢰된 데이터 전송을 보장할 수 있다. After the router 201 is authorized by the controller 202, the router 201 controls the network access of the nodes connected to the router 201 through the access control application 211 of the router 201 to transmit trusted data. can guarantee

도 9를 참조하면, 동작 905에서, 접속 제어 애플리케이션(211)은 라우터(201)에 연결된 노드의 네트워크 접속 이벤트를 감지할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 접속 중계 애플리케이션(212)을 통해 수신된 노드의 네트워크 접속 이벤트를 탐지할 수 있다. Referring to FIG. 9 , in operation 905 , the access control application 211 may detect a network access event of a node connected to the router 201 . For example, the access control application 211 may detect a network connection event of a node received through the access relay application 212 .

동작 910에서, 접속 제어 애플리케이션(211)은 수신된 네트워크 접속에 대응되는 접속 중계 애플리케이션(212)의 식별 정보 및 노드와 서비스 간의 네트워크 접속을 위한 데이터 패킷(예: TCP Session 생성, 첫번째 UDP 패킷 또는 연속된 UDP 패킷의 흐름 등)의 IP 헤더에 포함된 도착지 IP와 포트 정보, 프로토콜 정보에 기반하여 데이터 플로우가 존재하는지 확인할 수 있다. 실시예에 따르면, 데이터 플로우가 존재하지만 유효하지 않은 경우(예: 데이터 패킷 전송 불가 상태, 데이터 플로우 상에서 인가된 네트워크 인터페이스로부터 수신된 데이터 패킷이 아닌 경우, 데이터 패킷 전송을 위한 채널이 존재하지 않는 경우 중 적어도 어느 하나), 접속 제어 애플리케이션(211)은 데이터 패킷을 드랍할 수 있다. 다른 실시예에 따라서, 데이터 플로우가 존재하는 경우, 접속 제어 애플리케이션(211)은 데이터 플로우에 기반하여 데이터 패킷을 전송할 수 있다. 실시예에 따르면 라우터(201)의 접속 제어 애플리케이션(211)은 동작 910을 수행하지 않고 동작 915에서 네트워크 접속 요청을 수행할 수도 있다. In operation 910, the access control application 211 is the identification information of the connection relay application 212 corresponding to the received network connection and data packets for network access between the node and the service (eg, TCP Session creation, first UDP packet or continuous Based on the destination IP, port information, and protocol information included in the IP header of the UDP packet flow, etc.), it is possible to check whether a data flow exists. According to the embodiment, when a data flow exists but is not valid (e.g., when a data packet cannot be transmitted, when a data packet is not received from a network interface authorized on a data flow, when a channel for transmitting a data packet does not exist At least one of), the access control application 211 may drop the data packet. According to another embodiment, if a data flow exists, the access control application 211 may transmit a data packet based on the data flow. According to the embodiment, the access control application 211 of the router 201 may perform a network access request in operation 915 without performing operation 910 .

데이터 플로우가 존재하지 않거나 인증 시각이 만료되어 갱신이 필요한 경우 등 데이터 플로우를 갱신해야 하는 경우, 동작 915에서, 접속 제어 애플리케이션(211)은 컨트롤러(202)에게 네트워크 접속 요청을 수행할 수 있다. 예를 들어, 네트워크 접속 요청은 제어 플로우 식별 정보, 목적지 네트워크의 식별 정보, 포트 정보, 접속 중계 애플리케이션(212)의 식별 정보를 포함할 수 있다. 실시예에 따르면 네트워크 접속 요청은 프로토콜 정보(예: TCP. UDP 등) 및 수신된 네트워크 인터페이스 식별 정보 중 적어도 어느 하나를 더 포함할 수 있다. When the data flow needs to be updated, such as when the data flow does not exist or when the authentication time expires and renewal is required, in operation 915, the access control application 211 may request the controller 202 to access the network. For example, the network access request may include control flow identification information, destination network identification information, port information, and identification information of the access relay application 212 . According to the embodiment, the network access request may further include at least one of protocol information (eg, TCP, UDP, etc.) and received network interface identification information.

동작 920에서, 컨트롤러(202)는 제어 플로우 식별 정보를 기반으로 식별된 정보(예: 라우터, 채널 정보)와 대응되는 접속 정책에서, 접속 요청한 식별 정보(예: 접속 중계 애플리케이션(212)의 식별 정보, 도착지 IP 및 서비스 포트 정보, 프로토콜 정보, 수신된 네트워크 인터페이스 식별 정보)에 기반하여 접속 가능 여부를 확인할 수 있다. 실시예에 따라서, 컨트롤러(202)는 네트워크 접속이 불가능한 경우 라우터(201)의 접속 제어 애플리케이션(211)에게 접속 불가 결과를 전송할 수 있다(동작 935).In operation 920, the controller 202 determines the access requested identification information (eg, identification information of the access relay application 212) in the access policy corresponding to the identified information (eg, router, channel information) based on the control flow identification information. , destination IP and service port information, protocol information, and received network interface identification information). Depending on the embodiment, if network access is impossible, the controller 202 may transmit a connection failure result to the access control application 211 of the router 201 (operation 935).

접속이 가능한 경우, 동작 925에서, 컨트롤러(202)는 라우터(201)의 네트워크 접속을 허용하기 위하여 채널 정책 데이터베이스(312)를 확인할 수 있다. 예를 들어, 컨트롤러(202)는 채널 정책 데이터베이스(312)에 기반하여 목적지 서비스와의 경로 상에 게이트웨이(203)의 존재 여부 및 게이트웨이(203)와 라우터(201) 간에 채널이 필요한지 여부를 확인할 수 있고, 채널이 필요한 경우 채널이 생성되었는지 여부를 확인할 수 있다. 실시예에 따르면, 컨트롤러(202)는 채널 테이블(319)에 기반하여 채널이 생성되어 있는지 여부를 확인할 수 있다. If access is possible, in operation 925, the controller 202 may check the channel policy database 312 to allow the router 201 to access the network. For example, the controller 202 may check whether the gateway 203 exists on a path to the destination service and whether a channel is required between the gateway 203 and the router 201 based on the channel policy database 312. and, if a channel is required, it can be checked whether the channel has been created. According to an embodiment, the controller 202 may check whether a channel is created based on the channel table 319 .

실시예에 따르면, 채널이 생성되어 있거나, 채널 생성이 필요하지 않은 경우 컨트롤러(202)는 라우터(201)에 연결된 노드의 접속을 허용할 수 있도록 접속 요청 정보(접속 중계 애플리케이션(212)의 식별 정보, 출발지 IP, 도착지 IP 및 포트, 프로토콜 정보, 네트워크 인터페이스 식별 정보)를 기반으로 데이터 플로우 정보를 생성하고, 생성된 데이터 플로우를 라우터(201) 및 게이트웨이(203)에게 전송할 수 있다. 다만, 데이터 플로우가 기 생성된 경우에 컨트롤러(202)는 데이터 플로우를 다시 생성하지 않을 수 있다. According to the embodiment, if a channel has been created or if channel creation is not required, the controller 202 has access request information (identification information of the access relay application 212) to allow access of a node connected to the router 201. , source IP, destination IP and port, protocol information, and network interface identification information), data flow information may be generated, and the generated data flow may be transmitted to the router 201 and the gateway 203 . However, when a data flow is previously generated, the controller 202 may not regenerate the data flow.

실시예에 따르면, 채널이 생성되어 있지 않아 채널 생성이 필요한 경우, 컨트롤러(202)는 라우터(201)와 게이트웨이(203) 간에 연결할 수 있는 채널 종류(터널 및 보안 세션 등) 및 채널 생성을 위한 일련의 정보(예: 인증 정보, 암호화 알고리즘, Tunnel End Point IP 등)를 포함하는 채널 정보를 생성하고, 생성된 채널 정보를 라우터(201) 및 게이트웨이(203)에 전송할 수 있다(동작 930, 935). According to the embodiment, when channel creation is required because no channel has been created, the controller 202 determines the type of channel that can be connected between the router 201 and the gateway 203 (tunnel and security session, etc.) Channel information including information (eg, authentication information, encryption algorithm, Tunnel End Point IP, etc.) may be generated, and the generated channel information may be transmitted to the router 201 and the gateway 203 (operations 930 and 935). .

동작 940에서, 접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 수신된 응답에 대한 결과값을 처리할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 네트워크 접속 불가 결과를 수신한 경우, 라우터(201)에 연결된 노드가 전송하고자 하는 데이터 패킷을 드랍할 수 있다. 다른 예를 들어, 접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 데이터 플로우가 수신되는 경우, 수신된 데이터 플로우에 기반하여 데이터 패킷을 전송할 수 있다. 이 경우, 접속 제어 애플리케이션(211)은 수신된 데이터 플로우로 기존 데이터 플로우를 갱신할 수 있다. In operation 940 , the connection control application 211 may process a result value of a response received from the controller 202 . For example, when the connection control application 211 receives a network connection failure result from the controller 202, a node connected to the router 201 may drop a data packet to be transmitted. For another example, when a data flow is received from the controller 202, the access control application 211 may transmit a data packet based on the received data flow. In this case, the access control application 211 may update the existing data flow with the received data flow.

실시예에 따르면, 컨트롤러(202)로부터 채널 정보가 수신되는 경우 접속 제어 애플리케이션(211)은 수신된 채널 정보에 기반하여 게이트웨이(203)에게 채널 생성 요청을 수행할 수 있다. 이 경우, 접속 제어 애플리케이션(211)은 게이트웨이(203)와 채널 생성이 완료되면 컨트롤러(202)에게 채널 생성이 완료됨을 나타내는 정보를 전송할 수 있다(예: 도 8에 도시된 동작). According to an embodiment, when channel information is received from the controller 202, the access control application 211 may request the gateway 203 to create a channel based on the received channel information. In this case, when the channel creation with the gateway 203 is completed, the access control application 211 may transmit information indicating completion of the channel creation to the controller 202 (eg, the operation shown in FIG. 8 ).

도 10은 다양한 실시예들에 따른 라우터의 데이터 패킷의 전송을 제어하기 위한 동작 흐름도를 도시한다. 실시예에 따르면, 도 10에 도시된 동작들은 도 2의 라우터(201)의 접속 제어 애플리케이션(211)을 통해 수행될 수 있다. 10 illustrates an operational flow diagram for controlling transmission of a data packet in a router according to various embodiments. According to an embodiment, the operations shown in FIG. 10 may be performed through the access control application 211 of the router 201 of FIG. 2 .

라우터(201)는 라우터(201)에 연결된 노드의 네트워크 접속이 컨트롤러(202)로부터 인가된 경우, 노드가 전송하고자 하는 데이터 패킷을 접속 중계 애플리케이션(212) 및 접속 제어 애플리케이션(211)을 통해 데이터 플로우에 기반하여 제어함으로서 안전한 네트워크 접속 환경을 노드에게 제공할 수 있다. When the network connection of the node connected to the router 201 is authorized by the controller 202, the router 201 transmits data packets that the node wants to transmit through the access relay application 212 and the access control application 211. It is possible to provide a secure network access environment to nodes by controlling based on

동작 1005에서, 라우터(201)의 접속 제어 애플리케이션(211)은 라우터(201)에 연결된 노드의 데이터 패킷 전송 이벤트를 접속 중계 애플리케이션(212)을 통해 탐지할 수 있다. In operation 1005 , the access control application 211 of the router 201 may detect a data packet transmission event of a node connected to the router 201 through the access relay application 212 .

동작 1010에서, 접속 제어 애플리케이션(211)은 접속 중계 애플리케이션(212)의 식별 정보, 수신된 데이터 패킷의 IP 헤더에 포함된 도착지 IP와 포트 정보, 프로토콜 정보(예: TCP. UDP)에 기반하여 대응되는 데이터 플로우가 존재하는지 확인할 수 있다. In operation 1010, the access control application 211 responds based on identification information of the access relay application 212, destination IP and port information included in the IP header of the received data packet, and protocol information (eg, TCP, UDP). It is possible to check whether the data flow exists.

실시예에 따르면, 접속 제어 애플리케이션(211)은 데이터 플로우가 존재하지만 유효하지 않은 경우(예: 데이터 패킷 전송 불가 상태, 데이터 플로우 상에서 인가된 네트워크 인터페이스로부터 수신된 데이터 패킷이 아닌 경우, 데이터 패킷 전송을 위한 채널이 존재하지 않는 경우 중 적어도 어느 하나) 또는 데이터 플로우가 존재하지 않는 경우 데이터 패킷을 드랍할 수 있다. According to an embodiment, the access control application 211 blocks data packet transmission when a data flow exists but is not valid (eg, data packet transmission unavailable state, data packet received from an authorized network interface on the data flow). A data packet may be dropped when at least one of a case where a channel for a data flow does not exist) or when a data flow does not exist.

데이터 플로우가 존재하면, 동작 1015에서, 접속 제어 애플리케이션(211)은 데이터 플로우에 포함된 데이터 패킷 필터링 정보에 기반하여 데이터 패킷을 검사할 수 있다. 예를 들어, 데이터 패킷이 데이터 패킷 필터링 정보에 기반하여 검사가 필요한 경우에 접속 제어 애플리케이션(211)은 데이터 패킷을 검사할 수 있다. 실시예에 따르면, 접속 제어 애플리케이션(211)은 단일 데이터 패킷 또는 복수의 데이터 패킷을 검사 대상으로 설정할 수 있다. If the data flow exists, in operation 1015 the access control application 211 may examine the data packet based on the data packet filtering information included in the data flow. For example, if a data packet needs to be inspected based on data packet filtering information, the access control application 211 can inspect the data packet. According to an embodiment, the access control application 211 may set a single data packet or a plurality of data packets as a test target.

동작 1020에서, 접속 제어 애플리케이션(211)은 데이터 패킷이 필터링 대상에 포함되는 경우 데이터 패킷을 필터링할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 데이터 패킷이 치환이 필요한 경우 데이터 플로우의 필터링 정보에 포함된 치환 정보 또는 규칙에 기반하여 데이터 패킷을 치환할 수 있다. 다른 예를 들어, 데이터 패킷 치환이 필요하지 않거나 필터링이 필요하지 않은 경우 접속 제어 애플리케이션(211)은 동작 1020 수행 없이 동작 1025를 수행할 수 있다. 또 다른 예를 들어, 데이터 패킷의 차단이 필요한 경우 접속 제어 애플리케이션(211)은 데이터 패킷을 드랍할 수 있다. In operation 1020, the access control application 211 may filter the data packet if the data packet is included in the filtering target. For example, when a data packet needs to be replaced, the access control application 211 can replace the data packet based on replacement information or rules included in filtering information of the data flow. For another example, if data packet replacement is not required or filtering is not required, the access control application 211 may perform operation 1025 without performing operation 1020. For another example, if it is necessary to block the data packet, the access control application 211 may drop the data packet.

동작 1025에서, 접속 제어 애플리케이션(211)은 데이터 플로우에 포함된 데이터 패킷 QoS 정보에 기반하여 데이터 패킷의 QoS가 필요한지 여부를 확인할 수 있다. In operation 1025, the access control application 211 may determine whether QoS of the data packet is required based on the data packet QoS information included in the data flow.

데이터 패킷 QoS가 필요하면, 접속 제어 애플리케이션(211)은 데이터 패킷 QoS 정보에 포함된 분단 전송 가능한 데이터 패킷량을 확인하고, 전송된 분당 데이터 패킷 QoS 정보에 기반하여 QoS가 필요한지 여부를 확인할 수 있다. If data packet QoS is required, the access control application 211 may check the amount of data packets that can be transmitted in segments included in the data packet QoS information, and determine whether QoS is required based on the transmitted data packet QoS information per minute.

전송된 분당 데이터 패킷량이 분당 전송 가능한 데이터 패킷 량을 초과한 경우, 동작 1030에서, 접속 제어 애플리케이션(211)은 데이터 패킷 QoS 방식에 따라 데이터 패킷의 전송을 일정 시간 지연시킨 후 전송 처리하거나, 데이터 패킷의 재전송을 유도할 수 있도록 데이터 패킷을 드랍(동작 1045)할 수 있다. If the amount of data packets transmitted per minute exceeds the amount of data packets that can be transmitted per minute, in operation 1030, the access control application 211 delays the transmission of the data packets for a predetermined time according to the data packet QoS method, and then transmits the data packets. A data packet may be dropped (operation 1045) to induce retransmission of .

실시예에 따르면, 데이터 패킷 QoS가 필요하지 않은 경우에 접속 제어 애플리케이션(211)은 데이터 패킷을 전송 처리할 수 있다. 또한, 접속 제어 애플리케이션(211)은 데이터 패킷 필터링 정보 및 데이터 패킷 QoS 정보에 기반하여 데이터 패킷의 검사가 완료되면, 데이터 패킷을 전송 처리할 수 있다(동작 1035). According to an embodiment, when the data packet QoS is not required, the access control application 211 may transmit the data packet. In addition, the access control application 211 may transmit the data packet when the inspection of the data packet is completed based on the data packet filtering information and the data packet QoS information (operation 1035).

동작 1040에서, 접속 제어 애플리케이션(211)은 데이터 패킷 전송 및 데이터 패킷 드랍을 처리한 이후에 전송 또는 드랍된 데이터 패킷 량을 데이터 플로우에 포함된 데이터 패킷 QoS 정보에 갱신할 수 있다. In operation 1040, the access control application 211 may update data packet QoS information included in the data flow with an amount of transmitted or dropped data packets after processing data packet transmission and data packet drop.

도 11은 다양한 실시예들에 따른 라우터의 데이터 패킷의 수신을 제어하기 위한 동작 흐름도를 도시한다. 도 11에 도시된 동작들은 도 2의 라우터(201)의 접속 제어 애플리케이션(211)을 통해 수행될 수 있다. 11 illustrates an operational flow diagram for controlling reception of a data packet by a router according to various embodiments. The operations shown in FIG. 11 may be performed through the access control application 211 of the router 201 of FIG. 2 .

라우터(201)는 데이터 패킷을 수신하는 경우에도 컨트롤러(202)로부터 인가된 데이터 플로우에 기반하여 수신함으로서 안전한 네트워크 제어를 제공할 수 있다. Even when the router 201 receives data packets, it can provide secure network control by receiving them based on the data flow authorized by the controller 202 .

동작 1105에서, 접속 제어 애플리케이션(211)은 접속 중계 애플리케이션(212)의 데이터 패킷 수신 이벤트를 탐지할 수 있다. At operation 1105 , the access control application 211 may detect a data packet reception event of the access relay application 212 .

동작 1110에서, 접속 제어 애플리케이션(211)은 접속 중계 애플리케이션(212)의 식별 정보, 수신된 데이터 패킷의 IP 헤더에 포함된 도착지 IP와 포트 정보, 프로토콜 정보(예: TCP, UDP 등)를 기반으로 역방향에 대응되는 데이터 플로우가 존재하는지 확인할 수 있다. In operation 1110, the access control application 211 is based on identification information of the access relay application 212, destination IP and port information included in the IP header of the received data packet, and protocol information (eg, TCP, UDP, etc.) It can be checked whether a data flow corresponding to the reverse direction exists.

동작 1115에서, 접속 제어 애플리케이션(211)은 데이터 플로우가 존재하면 수신된 데이터 패킷량을 데이터 플로우에 포함된 데이터 패킷 QoS 정보에 갱신할 수 있다. In operation 1115, if the data flow exists, the connection control application 211 may update the data packet QoS information included in the data flow with the amount of data packets received.

도 12는 다양한 실시예들에 따른 라우터의 제어 플로우 갱신을 위한 신호 흐름도를 도시한다. 12 illustrates a signal flow diagram for updating a control flow of a router according to various embodiments.

도 12를 참조하면, 동작 1205에서, 접속 제어 애플리케이션(211)은 제어 플로우 갱신 이벤트를 감지할 수 있다. Referring to FIG. 12 , in operation 1205, the access control application 211 may detect a control flow update event.

실시예에 따르면, 접속 제어 애플리케이션(211)은 제어 플로우 갱신 이벤트가 감지되면, 컨트롤러(202)로부터 수신된 보안 검사 정보(예 : 운영체제 및 주요 애플리케이션의 실행 또는 설치 위치, 서명, 핑거프린트, 해쉬, 레지스트리 등 운영체제 및 애플리케이션의 고유 정보, 운영체제 및 주요 애플리케이션의 바이너리 분석을 위한 일련의 정보로써 실행 파일, 실행 파일이 참조하는 라이브러리 및 일련의 파일 또는 프로세스, 메모리 정보, 해당 애플리케이션 및 운영제체가 안전한지 여부를 검사하기 위한 멀웨어 탐지 도구 또는 패턴 DB 정보, 라우터의 하드웨어 및 운영체제 형상 정보 및 버전 정보, 물리적으로 연결 가능한 기기 정보 중 적어도 어느 하나)에 기반하여 보안 검사를 수행하여 결과를 컨트롤러(202)에게 전송할 수 있다. According to the embodiment, the access control application 211 detects a control flow update event, security check information received from the controller 202 (eg, operating system and main application execution or installation location, signature, fingerprint, hash, Executable files as a series of information for binary analysis of operating systems and applications, such as the registry, and binary analysis of operating systems and major applications. Security check is performed based on at least one of malware detection tool or pattern DB information, router hardware and operating system configuration information and version information, and physically connectable device information) to transmit the result to the controller 202. can

동작 1210에서, 접속 제어 애플리케이션(211)은 제어 플로우 식별 정보를 기초로 컨트롤러(202)에게 제어 플로우 갱신을 요청할 수 있다. 실시예에 따르면, 접속 제어 애플리케이션(211)은 보안 검사 결과를 컨트롤러(202)에게 함께 전송할 수 있다. In operation 1210, the access control application 211 may request a control flow update from the controller 202 based on the control flow identification information. According to an embodiment, the access control application 211 may transmit the security check result to the controller 202 together.

동작 1215에서, 컨트롤러(202)는 수신된 제어 플로우 식별 정보를 기초로 제어 플로우 테이블(예: 도 3의 제어 플로우 테이블(315))에서 제어 플로우가 존재하는지 여부를 확인할 수 있다. 실시예에 따라서, 제어 플로우가 존재하지 않는 경우(예: 타 보안 시스템에 의하여 접속 해제된 경우, 자체적인 위험 탐지 등에 의하여 접속 해제된 경우), 컨트롤러(202)는 라우터(201)의 접속이 유효하지 않으므로 접속 불가 결과를 접속 제어 애플리케이션(211)에게 전송할 수 있다(동작 1220). In operation 1215, the controller 202 may check whether a control flow exists in a control flow table (eg, the control flow table 315 of FIG. 3) based on the received control flow identification information. Depending on the embodiment, when the control flow does not exist (eg, when the connection is disconnected by another security system, when the connection is disconnected by its own risk detection, etc.), the controller 202 determines that the access of the router 201 is valid. Therefore, a connection failure result may be transmitted to the connection control application 211 (operation 1220).

실시예에 따르면, 컨트롤러(202)는 제어 플로우가 존재하는 경우 수신된 보안 검사 결과 정보를 기반으로 보안 검사 정책에 따라 보안 검사 정책에서 라우터에 포함된 운영체제 및 애플리케이션 정보가 유효한지 여부를 검사하거나 컨트롤러에 포함된 또는 컨트롤러와 연결된 타 시스템에 존재하는 유해 애플리케이션 검사 모듈(Static 검사 또는 AI 기반 검사)을 통해 해당 라우터의 운영체제 및 애플리케이션의 검사 결과가 정상적인지 여부를 판단할 수 있다. 이 경우, 검사 결과가 정상적이지 않으면, 컨트롤러(202)는 제어 플로우 및 종속된 채널 정보, 데이터 플로우를 제거하고 제거된 정보를 라우터(201) 및 게이트웨이(203)에게 전송할 수 있다(동작 1220). According to an embodiment, the controller 202 checks whether the operating system and application information included in the router are valid in the security check policy according to the security check policy based on the received security check result information when the control flow exists, or It is possible to determine whether the inspection results of the operating system and application of the router are normal through the harmful application inspection module (Static inspection or AI-based inspection) included in the router or existing in other systems connected to the controller. In this case, if the inspection result is not normal, the controller 202 may remove the control flow, dependent channel information, and data flow and transmit the removed information to the router 201 and the gateway 203 (operation 1220).

실시예에 따르면, 컨트롤러(202)는 검사 결과가 정상인 경우 갱신 시각을 업데이트하고, 제어 플로우에 종속된 데이터 플로우를 확인하여 데이터 플로우의 재인증을 수행하거나 데이터 플로우를 라우터(201)에게 반환할 수 있다. According to an embodiment, the controller 202 may update the update time when the inspection result is normal, check the data flow subordinate to the control flow, perform re-authentication of the data flow, or return the data flow to the router 201. there is.

동작 1225에서, 라우터(201)의 접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 수신된 응답에 대한 결과값을 처리할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 제어 플로우 갱신 결과가 불가능인 경우, 라우터(201)에 연결된 노드의 모든 네트워크 접속을 차단할 수 있다. 다른 예를 들어, 접속 제어 애플리케이션(211)은 제어 플로우 갱신 결과가 정상이고, 갱신된 데이터 플로우가 존재하는 경우, 데이터 플로우를 갱신할 수 있다. In operation 1225 , the access control application 211 of the router 201 may process the result value of the response received from the controller 202 . For example, the access control application 211 may block all network accesses of nodes connected to the router 201 when the control flow update result is impossible. For another example, the access control application 211 may update the data flow when the control flow update result is normal and the updated data flow exists.

도 13은 다양한 실시예들에 따른 라우터의 접속 해제를 위한 신호 흐름도를 도시한다. 13 illustrates a signal flow diagram for disconnection of a router according to various embodiments.

도 13을 참조하면, 동작 1305에서 라우터(201)는 라우터(201)의 종료, 접속 제어 애플리케이션(211)의 종료, 더 이상 네트워크 접속을 사용하지 않음 및 연동 시스템으로부터 식별된 정보를 기반으로 접속 종료 요청 중 적어도 어느 하나를 감지할 수 있다. 이 경우 동작 1310에서, 라우터(201) 또는 접속 제어 애플리케이션(211)은 컨트롤러(202)에게 제어 플로우 제거를 요청할 수 있다.Referring to FIG. 13, in operation 1305, the router 201 terminates the connection based on the termination of the router 201, termination of the access control application 211, no longer using the network connection, and information identified from the interworking system. At least one of the requests may be detected. In this case, in operation 1310, the router 201 or the access control application 211 may request the controller 202 to remove the control flow.

동작 1315에서, 컨트롤러(202)는 수신된 제어 플로우 식별 정보를 기초로 식별된 제어 플로우를 제거할 수 있다. In operation 1315, the controller 202 may remove the identified control flow based on the received control flow identification information.

동작 1320에서 컨트롤러(202)는 제거된 제어 플로우에 종속된 모든 데이터 플로우를 제거할 수 있다. 따라서, 라우터(201)는 제거된 데이터 플로우를 기반으로 목적지 네트워크에 더 이상 접속할 수 없다. 또한, 컨트롤러(202)는 제거된 제어 플로우에 종속된 모든 데이터 플로우를 중계하는 게이트웨이(203)에 채널 및 데이터 플로우에 대한 제거 요청을 수행함으로서, 더 이상 목적지 네트워크로 데이터 패킷을 전송할 수 없는 상태를 제공할 수 있다. In operation 1320, the controller 202 may remove all data flows dependent on the removed control flow. Thus, router 201 can no longer access the destination network based on the removed data flow. In addition, the controller 202 requests the gateway 203, which relays all data flows dependent on the removed control flow, to request a removal of the channel and data flow, so that the data packet cannot be transmitted to the destination network any longer. can provide

도 14는 다양한 실시예들에 따른 애플리케이션 실행 종료를 위한 신호 흐름도이다. 14 is a signal flow diagram for terminating application execution according to various embodiments.

도 14를 참조하면, 동작 1405에서, 라우터(201)의 접속 제어 애플리케이션(211)은 접속 중계 애플리케이션(212)의 종료 이벤트를 감지할 수 있다. 이 경우, 접속 제어 애플리케이션(211)은 접속 중계 애플리케이션(212)에 할당되어 있는 데이터 플로우 식별 정보 및 접속 중계 애플리케이션(212)의 식별 정보를 컨트롤러(202)에게 전송하며 데이터 플로우 제거 요청을 수행할 수 있다(동작 1410). Referring to FIG. 14 , in operation 1405, the access control application 211 of the router 201 may detect an end event of the access relay application 212. In this case, the access control application 211 transmits the data flow identification information allocated to the access relay application 212 and the identification information of the access relay application 212 to the controller 202 and may perform a data flow removal request. Yes (act 1410).

동작 1415에서, 컨트롤러(202)는 라우터(201)에서 요청한 데이터 플로우 식별 정보 또는 접속 중계 애플리케이션(212)의 식별 정보에 기반하여 식별된 데이터 플로우를 제거할 수 있다. 이 경우, 컨트롤러(202)는 게이트웨이(203)에게 대응되는 데이터 플로우의 제거를 요청할 수 있다. In operation 1415, the controller 202 may remove the data flow identified based on the data flow identification information requested by the router 201 or the identification information of the access relay application 212. In this case, the controller 202 may request the gateway 203 to remove the corresponding data flow.

도 15는 다양한 실시예들에 따른 라우터의 동작 방법을 나타내는 동작 흐름도이다. 도 15에 도시된 동작들은 도 2의 접속 제어 애플리케이션(211)을 통해 수행될 수 있다. 15 is an operation flowchart illustrating a method of operating a router according to various embodiments. The operations shown in FIG. 15 can be performed through the access control application 211 of FIG. 2 .

도 15를 참조하면, 동작 1505에서, 라우터(201)는 라우터(201)에 연결된 노드의 통신 정보를 처리하는 대상 애플리케이션 또는 라우터(201)에서 실행 중인 대상 애플리케이션의 네트워크 접속 이벤트가 발생할 수 있다. Referring to FIG. 15 , in operation 1505, the router 201 may generate a network access event of a target application processing communication information of a node connected to the router 201 or a target application running on the router 201.

동작 1510에서, 라우터(201)는 접속 제어 애플리케이션(211)을 통해 대상 애플리케이션의 식별 정보 및 노드의 목적지 네트워크의 식별 정보에 기반하여 외부 서버에게 네트워크 접속 요청을 수행할 수 있다. In operation 1510, the router 201 may perform a network access request to an external server based on the identification information of the target application and the identification information of the destination network of the node through the access control application 211.

동작 1515에서, 라우터(201)는 외부 서버로부터 대상 애플리케이션의 식별 정보에 대응되는 데이터 플로우를 수신할 수 있다. In operation 1515, the router 201 may receive a data flow corresponding to the identification information of the target application from the external server.

동작 1520에서, 라우터(201)는 데이터 플로우에 기반하여 대상 애플리케이션 또는 라우터(201)에 연결된 노드의 통신을 처리할 수 있다. In operation 1520, the router 201 may process communication of a target application or a node connected to the router 201 based on the data flow.

도 16은 다양한 실시예들에 따른 서버의 동작 방법을 나타내는 동작 흐름도이다. 도 16에 도시된 동작들은 도 2의 컨트롤러(202)를 통해 수행될 수 있다. 16 is an operation flowchart illustrating a method of operating a server according to various embodiments. The operations shown in FIG. 16 may be performed through the controller 202 of FIG. 2 .

도 16을 참조하면, 동작 1605에서, 서버는 노드와 연결된 라우터로부터 노드의 네트워크 접속 요청을 수신할 수 있다. Referring to FIG. 16 , in operation 1605, a server may receive a network access request of a node from a router connected to the node.

동작 1610에서, 서버는 데이터 베이스, 대상 애플리케이션의 식별 정보, 노드의 목적지 네트워크의 식별 정보에 기반하여 노드가 목적지 네트워크에 접속 가능한지 확인할 수 있다. In operation 1610, the server may determine whether the node can access the destination network based on the database, identification information of the target application, and identification information of the destination network of the node.

동작 1615에서, 서버는 대상 애플리케이션의 식별 정보, 노드의 목적지 네트워크의 식별 정보에 대응되는 데이터 플로우를 생성하여 라우터 및 게이트웨이에게 전송할 수 있다. 예를 들어, 데이터 플로우는 데이터 패킷 필터링 정보 및 데이터 패킷 QoS 정보를 포함할 수 있다. In operation 1615, the server may generate a data flow corresponding to the identification information of the target application and the identification information of the destination network of the node, and transmit the generated data flow to the router and the gateway. For example, the data flow may include data packet filtering information and data packet QoS information.

이상의 설명은 본 문서에 개시된 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 문서에 개시된 실시예들의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. The above description is only an illustrative example of the technical idea disclosed in this document, and those skilled in the art to which the embodiments disclosed in this document belong will be within the scope of the essential characteristics of the embodiments disclosed in this document. Many modifications and variations will be possible.

따라서, 본 문서에 개시된 실시예들은 본 문서에 개시된 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 문서에 개시된 기술 사상의 범위가 한정되는 것은 아니다. 본 문서에 개시된 기술 사상의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 문서의 권리범위에 포함되는 것으로 해석되어야 할 것이다. Therefore, the embodiments disclosed in this document are not intended to limit the technical idea disclosed in this document, but to explain, and the scope of the technical idea disclosed in this document is not limited by these embodiments. The scope of protection of technical ideas disclosed in this document should be interpreted according to the scope of the following claims, and all technical ideas within the equivalent scope should be construed as being included in the scope of rights of this document.

Claims (13)

라우터에 있어서,
통신 회로; 상기 통신 회로와 작동적으로 연결되는 프로세서; 및 상기 프로세서와 작동적으로 연결되고, 대상 애플리케이션 및 접속 제어 애플리케이션을 저장하는 메모리를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 라우터가,
상기 라우터에 연결된 노드의 통신 정보를 처리하는 상기 대상 애플리케이션 또는 상기 라우터에서 실행중인 상기 대상 애플리케이션을 통해 네트워크 접속 이벤트가 발생하면,
상기 접속 제어 애플리케이션을 통해 상기 대상 애플리케이션의 식별 정보 및 상기 노드의 목적지 네트워크의 식별 정보에 기반하여 외부 서버에게 네트워크 접속 요청을 수행하고,
상기 외부 서버로부터 상기 대상 애플리케이션의 식별 정보에 대응되는 데이터 플로우를 수신하고,
상기 데이터 플로우에 기반하여 상기 대상 애플리케이션의 데이터 또는 상기 라우터에 연결된 상기 노드의 데이터의 필터링 또는 QoS 검사를 수행하여 상기 대상 애플리케이션 또는 상기 노드의 통신을 처리하도록 구성된, 명령어들을 저장하는, 라우터. For routers,
communication circuit; a processor in operative connection with the communication circuitry; and a memory operably coupled with the processor and storing a target application and an access control application, wherein the memory, when executed by the processor, causes the router to:
When a network access event occurs through the target application processing communication information of a node connected to the router or the target application running in the router,
Performing a network connection request to an external server based on identification information of the target application and identification information of a destination network of the node through the access control application;
Receiving a data flow corresponding to identification information of the target application from the external server;
A router configured to perform filtering or QoS check of data of the target application or data of the node connected to the router based on the data flow to process communication of the target application or the node, and store instructions. 제 1 항에 있어서, 상기 명령어들은 상기 라우터가,
상기 접속 제어 애플리케이션을 통해 상기 외부 서버로부터 채널 정보를 수신하면,
상기 채널 정보에 기반하여 게이트웨이와 채널을 생성하고,
상기 외부 서버에게 생성된 채널 식별 정보 및 채널 생성시 부여된 IP 정보를 전송하고,
상기 외부 서버로부터 갱신된 채널 정보 및 채널 정보가 갱신된 데이터 플로우를 수신하도록 구성된, 라우터. The method of claim 1, wherein the instructions are the router,
Upon receiving channel information from the external server through the access control application,
Creating a gateway and a channel based on the channel information;
Transmitting the generated channel identification information and the IP information assigned when the channel is created to the external server;
A router configured to receive updated channel information and a data flow with updated channel information from the external server. 제 1 항에 있어서, 상기 명령어들은 상기 라우터가,
상기 접속 제어 애플리케이션을 통해 상기 노드의 네트워크 접속을 위한 데이터에서 상기 목적지 네트워크의 식별 정보, 통신 프로토콜 정보 및 네트워크 인터페이스 식별 정보를 확인하고,
상기 노드의 네트워크 접속을 위한 데이터에 대응되는 데이터 플로우의 존재 여부를 확인하고,
상기 노드의 네트워크 접속을 위한 데이터에 대응되는 데이터 플로우가 존재하면 상기 노드의 네트워크 접속을 위한 데이터에 대응되는 데이터 패킷을 전송하도록 구성된, 라우터. The method of claim 1, wherein the instructions are the router,
Checking identification information, communication protocol information, and network interface identification information of the destination network in data for network access of the node through the access control application;
Checking whether there is a data flow corresponding to the data for network access of the node;
The router configured to transmit a data packet corresponding to the data for network access of the node if a data flow corresponding to the data for network access of the node exists. 제 1 항에 있어서, 상기 명령어들은 상기 라우터가,
상기 접속 제어 애플리케이션을 통해 상기 데이터 플로우에 포함된 데이터 패킷 필터링 정보에 기반하여 상기 노드의 데이터가 필터링 대상인지 확인하고,
상기 노드의 데이터가 필터링 대상이면서 데이터 치환이 필요하면 상기 필터링 정보에 포함된 치환 정보 또는 치환 규칙에 기반하여 데이터를 치환하고,
상기 노드의 데이터가 필터링 대상이면서 데이터 차단이 필요하면 상기 노드의 데이터를 드롭하도록 구성된, 라우터. The method of claim 1, wherein the instructions are the router,
Based on the data packet filtering information included in the data flow through the access control application, it is determined whether the data of the node is subject to filtering;
If the data of the node is subject to filtering and data replacement is required, the data is replaced based on the replacement information or replacement rules included in the filtering information;
The router configured to drop the data of the node when the data of the node is subject to filtering and data blocking is required. 제 1 항에 있어서, 상기 명령어들은 상기 라우터가,
상기 접속 제어 애플리케이션을 통해 상기 데이터 플로우에 포함된 QoS(Quality of Service) 정보에 기반하여 상기 노드의 데이터가 QoS가 필요한지 여부를 확인하고,
상기 노드의 데이터가 QoS가 필요하면 상기 QoS 정보에 기반하여 전송 가능한 데이터 량을 확인하고,
상기 전송 가능한 데이터 량을 초과한 경우, 상기 QoS 정보에 기반하여 상기 노드의 데이터에 대응되는 데이터 패킷의 전송을 일정 시간 지연시켜 전송 처리하거나, 데이터 패킷의 재전송을 유도하도록 구성된, 라우터. The method of claim 1, wherein the instructions are the router,
Checking whether the data of the node requires QoS based on QoS (Quality of Service) information included in the data flow through the access control application;
If the data of the node requires QoS, check the amount of transmittable data based on the QoS information;
When the transmittable data amount is exceeded, based on the QoS information, the router is configured to delay transmission of the data packet corresponding to the data of the node for a predetermined time, process the transmission, or induce retransmission of the data packet. 제 1 항에 있어서, 상기 명령어들은 상기 라우터가,
상기 접속 제어 애플리케이션을 통해 전송한 데이터 패킷에 대한 응답 데이터 패킷을 수신하고,
상기 응답 데이터 패킷에 대응되는 데이터 플로우의 존재 여부를 확인하고,
상기 응답 데이터 패킷에 대응되는 데이터 플로우가 존재하면 수신된 데이터 패킷의 양을 상기 데이터 플로우의 QoS 정보에 갱신하도록 구성된, 라우터. The method of claim 1, wherein the instructions are the router,
Receiving a response data packet to a data packet transmitted through the access control application;
Checking whether a data flow corresponding to the response data packet exists;
and if a data flow corresponding to the response data packet exists, update an amount of the received data packet to QoS information of the data flow. 제 1 항에 있어서, 상기 명령어들은 상기 라우터가,
상기 대상 애플리케이션을 통해 상기 라우터에 연결된 노드의 네트워크 접속을 중계하고,
상기 접속 제어 애플리케이션을 통해 상기 대상 애플리케이션이 목적지 네트워크에 접속 가능한지 상기 외부 서버에게 확인하고,
확인된 결과를 기초로 상기 노드가 전송하고자 하는 데이터를 검사하여 상기 노드가 전송하고자 하는 데이터를 처리하도록 구성된, 라우터. The method of claim 1, wherein the instructions are the router,
Relaying network access of nodes connected to the router through the target application;
Checking with the external server whether the target application can access the destination network through the access control application;
A router configured to examine data to be transmitted by the node based on the confirmed result and process the data to be transmitted by the node. 서버에 있어서,
통신 회로;
데이터 베이스를 저장하는 메모리; 및
상기 통신 회로 및 상기 메모리와 작동적으로 연결되는 프로세서를 포함하고, 상기 프로세서는,
노드와 연결된 라우터로부터 상기 노드의 네트워크 접속 요청을 수신하고, 상기 네트워크 접속 요청은 상기 라우터에 포함된 대상 애플리케이션의 식별 정보, 상기 노드의 목적지 네트워크의 식별 정보를 포함하고,
상기 데이터 베이스, 상기 대상 애플리케이션의 식별 정보, 상기 노드의 목적지 네트워크의 식별 정보에 기반하여 상기 노드가 상기 목적지 네트워크에 접속 가능한지 확인하고,
상기 대상 애플리케이션의 식별 정보, 상기 노드의 목적지 네트워크의 식별 정보에 대응되는 데이터 플로우를 생성하여 상기 라우터 및 게이트웨이에게 전송하도록 구성되고
상기 데이터 플로우는 데이터 패킷 필터링 정보 및 데이터 패킷 QoS 정보를 포함하고,
상기 데이터 패킷 필터링 정보 및 상기 데이터 패킷 QoS 정보는 상기 라우터에서 상기 노드 또는 상기 대상 애플리케이션의 데이터를 검사하는 경우에 사용되는, 서버. in the server,
communication circuit;
a memory for storing a database; and
a processor in operative connection with the communication circuitry and the memory, the processor comprising:
Receiving a network access request of the node from a router connected to the node, the network access request including identification information of a target application included in the router and identification information of a destination network of the node;
Check whether the node can access the destination network based on the database, identification information of the target application, and identification information of the destination network of the node;
configured to generate a data flow corresponding to identification information of the target application and identification information of a destination network of the node, and transmit the data flow to the router and the gateway;
the data flow includes data packet filtering information and data packet QoS information;
The data packet filtering information and the data packet QoS information are used when the router examines data of the node or the target application. 제 8 항에 있어서, 상기 프로세서는,
상기 데이터 베이스에 기반하여 상기 라우터와 게이트웨이 간 채널 생성이 필요한지 여부를 확인하고, 채널 생성에 필요한 정보를 생성하여 상기 라우터 및 상기 게이트웨이에게 전송하도록 구성된, 서버. The method of claim 8, wherein the processor,
A server configured to determine whether channel creation between the router and the gateway is necessary based on the database, and to generate and transmit information necessary for channel creation to the router and the gateway. 제 8 항에 있어서, 상기 프로세서는,
상기 라우터로부터 채널 생성을 나타내는 채널 식별 정보 및 채널 생성시 부여된 IP 정보를 수신하고,
상기 채널 식별 정보 및 상기 채널 생성시 부여된 IP 정보를 상기 데이터 베이스 및 상기 데이터 플로우에 갱신하고,
갱신된 데이터 플로우를 상기 라우터 및 상기 게이트웨이로 전송하도록 구성된, 서버. The method of claim 8, wherein the processor,
Receiving channel identification information indicating channel creation from the router and IP information assigned at the time of channel creation;
Updating the channel identification information and IP information given when the channel is created to the database and the data flow;
A server configured to transmit an updated data flow to the router and the gateway. 제 8 항에 있어서, 상기 프로세서는,
상기 라우터로부터 상기 라우터의 식별 정보를 포함하는 접속 요청을 수신하고,
상기 데이터 베이스에 기반하여 상기 라우터의 접속이 가능한지 확인하고,
접속 가능하면, 상기 라우터에 대응되는 제어 플로우를 생성하고, 상기 제어 플로우의 식별 정보 및 상기 라우터의 유효성을 검사하기 위한 정보를 포함하는 보안 검사 정보를 상기 라우터에게 전송하고,
상기 라우터로부터 상기 보안 검사 정보에 기반한 보안 검사 결과를 수신하고,
상기 보안 검사 결과가 정상적인지 여부를 판단하여 결과를 상기 라우터에게 전송하도록 구성된, 서버. The method of claim 8, wherein the processor,
Receiving an access request including identification information of the router from the router;
Check whether access to the router is possible based on the database;
If it is accessible, a control flow corresponding to the router is created, and security check information including identification information of the control flow and information for validating the router is transmitted to the router;
Receiving a security check result based on the security check information from the router;
The server configured to determine whether the result of the security check is normal and transmit the result to the router. 제 8 항에 있어서, 상기 프로세서는,
상기 라우터로부터 인증서 인증과 관련된 인증 정보를 포함하는 인증서 인증 요청을 수신하고,
상기 데이터 베이스에 기반하여 상기 인증서 인증이 정상적인지 여부를 확인하고,
인증서 인증이 정상적이면 상기 인증 정보에 기반하여 제어 플로우를 갱신하고,
인증서 인증 결과 및 보안 검사 정보를 상기 라우터에게 전송하고,
상기 라우터로부터 상기 보안 검사 정보에 기반한 보안 검사 결과를 수신하고,
상기 보안 검사 결과가 정상적인지 여부를 판단하여 결과를 상기 라우터에게 전송하도록 구성된, 서버. The method of claim 8, wherein the processor,
Receiving a certificate authentication request including authentication information related to certificate authentication from the router;
Check whether the certificate authentication is normal based on the database,
If the certificate authentication is normal, update the control flow based on the authentication information,
Transmitting a certificate authentication result and security check information to the router;
Receiving a security check result based on the security check information from the router;
The server configured to determine whether the result of the security check is normal and transmit the result to the router. 라우터의 동작 방법에 있어서,
라우터에 연결된 노드의 통신 정보를 처리하는 대상 애플리케이션 또는 상기 라우터에서 실행중인 상기 대상 애플리케이션의 네트워크 접속 이벤트가 발생하는 단계;
접속 제어 애플리케이션을 통해 상기 대상 애플리케이션의 식별 정보 및 상기 노드의 목적지 네트워크의 식별 정보에 기반하여 외부 서버에게 네트워크 접속 요청을 수행하는 단계;
상기 외부 서버로부터 상기 대상 애플리케이션의 식별 정보에 대응되는 데이터 플로우를 수신하는 단계; 및
상기 데이터 플로우에 기반하여 상기 대상 애플리케이션의 데이터 또는 상기 라우터에 연결된 노드의 데이터의 필터링 검사 또는 QoS 검사를 수행하여 상기 대상 애플리케이션 또는 상기 노드의 통신을 처리하는 단계; 를 포함하는, 방법.
In the operation method of the router,
generating a network access event of a target application processing communication information of a node connected to a router or the target application running in the router;
performing a network access request to an external server based on identification information of the target application and identification information of a destination network of the node through an access control application;
receiving a data flow corresponding to identification information of the target application from the external server; and
processing communication of the target application or node by performing a filtering check or a QoS check on data of the target application or data of a node connected to the router based on the data flow; Including, method.
KR1020230023898A 2023-02-22 2023-02-22 System for controlling network access and method of the same KR102564418B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230023898A KR102564418B1 (en) 2023-02-22 2023-02-22 System for controlling network access and method of the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230023898A KR102564418B1 (en) 2023-02-22 2023-02-22 System for controlling network access and method of the same

Publications (1)

Publication Number Publication Date
KR102564418B1 true KR102564418B1 (en) 2023-08-08

Family

ID=87560535

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230023898A KR102564418B1 (en) 2023-02-22 2023-02-22 System for controlling network access and method of the same

Country Status (1)

Country Link
KR (1) KR102564418B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017175462A (en) * 2016-03-24 2017-09-28 学校法人東京電機大学 Communication control device, communication control method and program
KR102223827B1 (en) * 2019-09-24 2021-03-08 프라이빗테크놀로지 주식회사 System for authenticating and controlling network access of terminal and method thereof
KR102333555B1 (en) * 2021-05-07 2021-12-01 프라이빗테크놀로지 주식회사 System for controlling network access based on controller and method of the same
KR102415567B1 (en) * 2021-11-18 2022-07-05 프라이빗테크놀로지 주식회사 System for controlling network access of virtualization terminal and method of the same

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017175462A (en) * 2016-03-24 2017-09-28 学校法人東京電機大学 Communication control device, communication control method and program
KR102223827B1 (en) * 2019-09-24 2021-03-08 프라이빗테크놀로지 주식회사 System for authenticating and controlling network access of terminal and method thereof
KR102333555B1 (en) * 2021-05-07 2021-12-01 프라이빗테크놀로지 주식회사 System for controlling network access based on controller and method of the same
KR102415567B1 (en) * 2021-11-18 2022-07-05 프라이빗테크놀로지 주식회사 System for controlling network access of virtualization terminal and method of the same

Similar Documents

Publication Publication Date Title
JP7148187B2 (en) System and method for controlling network connection of terminal based on tunnel
KR102379721B1 (en) System for controlling network access of application based on tcp session control and method therefor
KR102364445B1 (en) System for controlling network access based on controller and method of the same
KR102396528B1 (en) System for controlling network access based on controller and method of the same
KR102349038B1 (en) Tunneling and gateway access system optimized for distributed gateway environment and method therefor
KR102407136B1 (en) System for controlling network access based on controller and method of the same
KR102460691B1 (en) System for controlling network access based on controller and method of the same
KR102460696B1 (en) System for controlling network access based on controller and method of the same
KR102377247B1 (en) System for controlling network access based on controller and method of the same
KR102439881B1 (en) System for controlling network access based on controller and method of the same
KR102333555B1 (en) System for controlling network access based on controller and method of the same
KR102495369B1 (en) System for controlling network access based on controller and method of the same
JP7489147B2 (en) System and method for authenticating and controlling network connections of terminals - Patents.com
KR102449139B1 (en) System for controlling network access based on controller and method of the same
KR102502367B1 (en) System for controlling network access based on controller and method of the same
KR102460695B1 (en) System for controlling network access based on controller and method of the same
KR102446934B1 (en) System for controlling transmission and reception of file of application based on proxy and method thereof
KR102427663B1 (en) System for controlling network access based on controller and method of the same
KR102410552B1 (en) System for controlling transmission and reception of file of application and method thereof
KR102333554B1 (en) System for controlling network access based on controller and method of the same
KR102333553B1 (en) System for controlling network access based on controller and method of the same
KR102472554B1 (en) System for controlling network access based on controller and method of the same
KR102439880B1 (en) System for controlling transmission and reception of file of application and method thereof
KR102495370B1 (en) System for controlling transmission and reception of file of application based on proxy and method thereof
KR102460692B1 (en) System for controlling network access based on controller and method of the same

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant