KR20220130021A - 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법 - Google Patents

네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법 Download PDF

Info

Publication number
KR20220130021A
KR20220130021A KR1020220029973A KR20220029973A KR20220130021A KR 20220130021 A KR20220130021 A KR 20220130021A KR 1020220029973 A KR1020220029973 A KR 1020220029973A KR 20220029973 A KR20220029973 A KR 20220029973A KR 20220130021 A KR20220130021 A KR 20220130021A
Authority
KR
South Korea
Prior art keywords
network
module
encryption
monitoring
security
Prior art date
Application number
KR1020220029973A
Other languages
English (en)
Inventor
김종민
황호정
신성기
Original Assignee
주식회사맥데이타
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사맥데이타 filed Critical 주식회사맥데이타
Priority to PCT/KR2022/003622 priority Critical patent/WO2022197071A1/ko
Publication of KR20220130021A publication Critical patent/KR20220130021A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/065Generation of reports related to network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Environmental & Geological Engineering (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Alarm Systems (AREA)
  • Data Mining & Analysis (AREA)

Abstract

본 발명의 일 양태는, 네트워크 보안 모니터링 장치에서의, 5G 네트워크(network)를 모니터링하는 방법을 개시하고 있다. 상기 방법은, 본 발명의 일 양태에 따른, 네트워크 모니터링 장치에서의, 5G 네트워크(network)를 모니터링하는 방법은, 사용자 단말로부터 5G 코어 망에 전달되어 적어도 하나의 보안 모듈을 거쳐 공용망으로 전달되는 패킷을 미러링하여 수신하는 단계 및 상기 미러링된 패킷을 모니터링하여 네트워크 성능과 관련된 지표를 산출하는 단계를 포함하되, 상기 적어도 하나의 보안 모듈은 5G 코어 망의 UPF(User Plane Function) 관련 모듈과 상기 공용망 사이에 위치하여 상기 사용자 단말로부터의 데이터에 대한 보안 관련 동작을 수행하고, 상기 네트워크 모니터링 장치는 5G 코어 망의 UPF 관련 모듈과 상기 공용망 사이에 위치하여 상기 적어도 하나의 보안 모듈을 거쳐 전달되는 패킷을 미러링함에 의해 네트워크 성능과 관련된 지표를 산출한다.

Description

네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법{APPARATUS, SYSTEM AND METHOD FOR SECURITY AND PERFORMANCE MONITORING OF NETWORK}
본 발명은 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법에 관한 것이다.
네트워크는 통신 링크 및 통신 링크에 접속된 통신 능력을 가진 다양한 장치들을 전반적으로 포함한다. 여기서, 네트워크와 관련된 장치들은, 컴퓨터, 주변 장치, 라우터, 저장 장치, 및 프로세서와 통신 인터페이스를 갖는 여러 전기 제품을 포함한다. 여기서, "장치"라는 용어는 전형적으로 논리 장치들 혹은 기능성 및 데이터를 처리 및 교환할 수 있는 다른 장치들을 포함하며, 가정용 장치들뿐만 아니라 일반 목적의 컴퓨터들을 포함할 수 있다.
전통적인 네트워크 시스템들은 사용자가 사용하는 클라이언트 장치와 웹 사이트와 연관된 다양한 서버 장치들을 포함한다. 일반적으로 클라이언트 장치는 웹 사이트를 이용하기 위해, 특정 IP 주소를 갖는 서버에 접속 요청을 하고, 대기 시간을 거쳐 접속한다. 이때, 다수의 사용자에 의해 다수의 클라이언트 장치가 특정 시점에 몰려서 서버에 접속하는 경우, 병목 현상(bottleneck) 에 의해 서버와 연관된 네트워크 서비스의 성능이 저하될 수 있다. 서비스 성능 또는 품질 문제 발생시 사용자는 지연으로 인해, 대기 시간이 늘게 되어 서비스의 이용률이 떨어지게 되고, 이는 생산성 및 매출의 감소로 이어진다. 또한, IT 운영 비용 증가가 발생하고, 서버의 운영자 및/또는 관련 비즈니스의 경영자는 기업의 경쟁력 하락이라는 좋지 않는 결과를 맞게 될 수 있다.
특히, 5G 통신 네트워크에서는 장치 간의 통신이 5G가 요구하는 성능 범위 내에서 이루어지는 것을 가정하고 5G 네트워크 내의 장치들이 동작하기 때문에, 장치 간의 통신이 얼마나 신속하게 이루어지고 있는지, 만약 통신이 잘 이루어지고 있지 않다면, 성능 저하의 원인이 어디인지에 대한 신속한 파악이 매우 중요하다. 하지만, 이러한 성능 저하의 원인이 어디에 있는지를 명확히 파악하는 데에는 마땅한 서비스가 없어서 적절한 대응이 이루어지지 못하는 실정이다. 이러한 문제점은 결국 성능 저하의 문제에 적절히 대응하지 못하게 하고 성능 개선의 골든 타임(golden time)을 놓치게 되어 전체적인 시스템의 운영을 어렵게 하는 문제점을 야기한다.
따라서, 성능 저하의 원인을 신속히 파악하고 이에 대한 대응이 최대한 빠르게 이루어져야 한다.
도 1 은 종래 네트워크 서비스 관리를 수행하는 과정을 설명하기 위한 개념도이다.
도 1 을 참조하면, IT 관리를 위해 IT 팀장은 품질 관리와 관련된 명령을 네트워크 운영 파트, 서버 운영 파트, 데이터베이스 개발 파트 및 어플리케이션 개발 파트 등에 각각 명령한다.
특정 서비스 문제가 일어났을 때, 각각의 파트의 담당자들은 자신이 관리하는 IT 장치의 문제점을 개별적으로 판단하고, 이에 대한 보고를 한다. 즉, "어플리케이션 문제는 아니다", "네트워크 문제는 아니다" 및/또는 "서버에도 이상이 없다" 등 특정 서비스의 문제에 대해 독립적인 접근으로 인해, 문제의 원인을 신속히 식별하지 못하고, 성능 저하의 문제에 적절히 대응하지 못한다. 즉, 성능 개선의 골든 타임(golden time) 을 놓치게 되는 문제점이 있다.
한편, 사물 인터넷(IoT)의 발달로 전통적인 네트워크의 구조에도 다양한 변화가 발생하였다. 사물 인터넷이 적용된 수많은 디바이스들이 네트워크에 참여하게 되면서 하나의 서버에 접속되는 클라이언트 단말의 개수는 기하급수적으로 증대되는 경향이 뚜렷하고, 각각의 디바이스들을 포함하는 네트워크 전반에 대한 진단은 점점 더 어려워지고 있다. 나아가 각각의 사물 인터넷 디바이스 중 어느 하나에 대한 보안 문제가 발생할 경우 네트워크 전체에 대한 위협이 될 수 있음에도 불구하고, 사물 인터넷 디바이스들은 종래 통상적인 네트워크의 구성요소들에 비해 보안에 취약한 문제점이 있다.
본 발명의 기술적 과제는 본 발명은 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법을 제공함에 있다.
상기한 목적을 달성하기 위한 본 발명의 일 양태에 따른, 네트워크 모니터링 장치에서의, 5G 네트워크(network)를 모니터링하는 방법은, 사용자 단말로부터 5G 코어 망에 전달되어 적어도 하나의 보안 모듈을 거쳐 공용망으로 전달되는 패킷을 미러링하여 수신하는 단계 및 상기 미러링된 패킷을 모니터링하여 네트워크 성능과 관련된 지표를 산출하는 단계를 포함하되, 상기 적어도 하나의 보안 모듈은 5G 코어 망의 UPF(User Plane Function) 관련 모듈과 상기 공용망 사이에 위치하여 상기 사용자 단말로부터의 데이터에 대한 보안 관련 동작을 수행하고, 상기 네트워크 모니터링 장치는 5G 코어 망의 UPF 관련 모듈과 상기 공용망 사이에 위치하여 상기 적어도 하나의 보안 모듈을 거쳐 전달되는 패킷을 미러링함에 의해 네트워크 성능과 관련된 지표를 산출할 수 있다.
상기 적어도 하나의 보안 모듈은 제 1 암호화 모듈을 포함하되, 상기 제 1 암호화 모듈은 상기 5G 코어 망에 위치하여 상기 사용자 단말까지 고정 IP로 안전한 연결성을 제공하는 게이트웨이이고, 상기 네트워크 모니터링 장치는 상기 제 1 암호화 모듈과 연동하여 패킷 모니터링을 수행할 수 있다.
상기 제 1 암호화 모듈은 상기 사용자 단말로부터 상기 제 1 암호화 모듈까지의 구간의 데이터를 암호화 처리할 수 있다.
상기 제 1 암호화 모듈은 상기 제 1 암호화 모듈과 연동하는 단말측 장비인 제 1 암호화 단말과 협력하여 상기 제 1 암호화 모듈과 상기 제 1 암호화 단말 사이의 구간을 암호화하되, 상기 제 1 암호화 모듈과 상기 제 1 암호화 단말은 터널링되어 있을 수 있다.
상기 방법은, 상기 제 1 암호화 단말로부터 암호화되지 않은 정보를 직접 획득하는 단계 및 상기 획득된 정보를 이용하여 암호화 구간의 네트워크 성능을 모니터링하는 단계를 더 포함하되, 상기 제 1 암호화 단말은 상기 네트워크 모니터링 장치와 연동하는 보안 엔진을 포함하고, 상기 네트워크 모니터링 장치는 상기 보안 엔진으로부터 암호화를 거치지 않고 미러링된 패킷을 직접 수신할 수 있다.
상기 보안 엔진으로부터의 패킷은 미리 설정된 IP를 가지고 있으며, 상기 5G 네트워크와 관련된 스위치가 상기 미리 설정된 IP를 기반으로 상기 제 1 암호화 모듈을 통과시키지 않고 직접 상기 네트워크 모니터링 장치로 미러링된 패킷을 전달함에 의해 상기 미러링된 패킷을 수신할 수 있다.
상기 네트워크 성능과 관련된 지표는 성기 보안 엔진으로부터 주기적으로 획득되는 헬스(health) 정보를 기반으로 산출될 수 있다.
소정의 제 1 암호화 단말과 관련된 MAC 정보를 수신하여, 상기 수신된 MAC에 해당하는 제 1 암호화 단말은 MAC 인증만 완료되면 미리 설정된 IP로 할당하여 상기 5G 네트워크로의 데이터 전송을 허용할 수 있다.
상기 수신된 MAC 정보에 해당하는 제 1 암호화 단말과 관련된 트래픽에 대해 인공지능 기반의 분석을 수행하여, 분석 결과를 기반으로 비인가 접근을 감지할 수 있다.
상기 제 1 암호화 모듈로부터 집중 관리가 요구되는 사용자 단말에 대한 정보를 수신하여 상기 정보를 기반으로 강화된 모니터링을 수행할 수 있다.
상기 적어도 하나의 보안 모듈은, 제 2 암호화 모듈 및 방화벽 모듈을 더 포함하되, 상기 제 2 암호화 모듈은 다중 보안 채널 기반의 보안 연결을 위해 상기 사용자 단말로부터 상기 제 2 암호화 모듈까지의 구간에 대한 강화된 암호화를 수행하고, 상기 사용자 단말은 상기 제 2 암호화 모듈과 연동하는 제 2 암호화 클라이언트 모듈을 실행하여 상기 제 2 암호화 클라이언트 모듈로부터의 패킷만 상기 방화벽 모듈에서 상기 제 2 암호화 모듈로 포워딩하되, 상기 포워딩된 데이터는 암호화 처리를 해제하여 상기 방화벽 모듈로 재전송되고, 상기 네트워크 모니터링 장치는 상기 재전송된 패킷을 이용하여 상기 네트워크 성능과 관련된 지표를 산출할 수 있다.
상기 방법은, 상기 네트워크 성능과 관련된 지표를 기반으로 성능 또는 보안 관련 위험을 감지함에 응답하여, 통합 보안 매니저에 명령함에 의해 네트워크 차단을 수행하는 단계를 더 포함할 수 있다.
상기 네트워크 모니터링 장치는, 상기 5G 네트워크와 연결된 스위치로부터 상기 미러링된 패킷을 수신할 수 있다.
상기한 목적을 달성하기 위한 본 발명의 다른 양태에 따른, 5G 네트워크(network)의 모니터링을 위한 네트워크 모니터링 장치는, 사용자 단말로부터 5G 코어 망에 전달되어 적어도 하나의 보안 모듈을 거쳐 공용망으로 전달되는 패킷을 미러링하여 수신하는 포트 및 상기 미러링된 패킷을 모니터링하여 네트워크 성능과 관련된 지표를 산출하는 패킷 분석 모듈을 포함하되, 상기 적어도 하나의 보안 모듈은 5G 코어 망의 UPF(User Plane Function) 관련 모듈과 상기 공용망 사이에 위치하여 상기 사용자 단말로부터의 데이터에 대한 보안 관련 동작을 수행하고, 상기 네트워크 모니터링 장치는 5G 코어 망의 UPF 관련 모듈과 상기 공용망 사이에 위치하여 상기 적어도 하나의 보안 모듈을 거쳐 전달되는 패킷을 미러링함에 의해 네트워크 성능과 관련된 지표를 산출할 수 있다.
상기 적어도 하나의 보안 모듈은 제 1 암호화 모듈을 포함하되, 상기 제 1 암호화 모듈은 상기 사용자 단말까지 고정 IP로 안전한 연결성을 제공하는 게이트웨이이고, 상기 패킷 분석 모듈은 상기 제 1 암호화 모듈과 연동하여 패킷 모니터링을 수행할 수 있다.
상기 제 1 암호화 모듈은 상기 제 1 암호화 모듈과 연동하는 단말측 장비인 제 1 암호화 단말과 협력하여 상기 제 1 암호화 모듈과 상기 제 1 암호화 단말 사이의 구간을 암호화하되, 상기 제 1 암호화 모듈과 상기 제 1 암호화 단말은 터널링되어 있을 수 있다.
상기 포트는 상기 제 1 암호화 단말로부터 암호화되지 않은 정보를 직접 획득하고, 상기 패킷 분석 모듈은 획득된 정보를 이용하여 암호화 구간의 네트워크 성능을 모니터링하되, 상기 제 1 암호화 단말은 상기 네트워크 모니터링 장치와 연동하는 보안 엔진을 포함하고, 상기 포트는 상기 보안 엔진으로부터 암호화를 거치지 않고 미러링된 패킷을 직접 수신할 수 있다.
상기한 목적을 달성하기 위한 본 발명의 또 다른 양태에 따른, 5G 네트워크(network)의 모니터링을 위한 네트워크 모니터링 시스템은, 5G 코어 망의 사용자 평면 기능(UPF: User Plane Function)과 관련된 UPF 모듈, 5G 코어 망에 위치하여 사용자 단말까지 고정 IP로 안전한 연결성을 제공하는 게이트웨이인, 제 1 암호화 모듈 및 상기 사용자 단말로부터 5G 코어 망에 전달되어 적어도 하나의 보안 모듈을 거쳐 공용망으로 전달되는 패킷을 미러링하여 수신하고, 상기 미러링된 패킷을 모니터링하여 네트워크 성능과 관련된 지표를 산출하는 네트워크 모니터링 장치를 포함하되, 상기 네트워크 모니터링 장치는 상기 UPF 모듈과 공용망 사이에 위치하여 상기 적어도 하나의 보안 모듈을 거쳐 전달되는 패킷을 미러링함에 의해 네트워크 성능과 관련된 지표를 산출할 수 있다.
상기 제 1 암호화 모듈은 SmartNIC(smart Network Interface Card) 형태로 구현될 수 있다.
상기 제 1 암호화 모듈은 암호화된 패킷을 수신함에 응답하여, 상기 암호화된 패킷과 관련된 사용자가 기등록된 사용자인지 판단하여 디코딩 여부를 결정할 수 있다.
상기 시스템은, 상기 5G 망의 UPF 모듈과 상기 공용망 사이에 위치하여 상기 사용자 단말로부터의 데이터에 대한 보안 관련 동작을 수행하는, 상기 적어도 하나의 보안 모듈을 더 포함할 수 있다.
상기 적어도 하나의 보안 모듈은, 제 2 암호화 모듈을 더 포함하되, 상기 제 2 암호화 모듈은 다중 보안 채널 기반의 보안 연결을 위해 상기 사용자 단말로부터 상기 제 2 암호화 모듈까지의 구간에 대한 강화된 암호화를 수행할 수 있다.
상기 적어도 하나의 보안 모듈은 방화벽 모듈을 포함할 수 있다.
상기 방화벽 모듈은 사용자 트래픽을 5 tuple 단위로 5G 네트워크를 차단하거 허용할지 결정하고, 경로 변경을 수행할 수 있다.
상기 사용자 단말은 제 2 암호화 모듈과 연동하는 제 2 암호화 클라이언트 모듈을 실행하여 상기 제 2 암호화 클라이언트 모듈로부터의 패킷만 상기 방화벽 모듈에서 상기 제 2 암호화 모듈로 포워딩하되, 상기 포워딩된 데이터는 암호화 처리를 해제하여 다시 상기 방화벽 모듈로 전달할 수 있다.
상기 제 1 암호화 모듈을 통한 제 1 암호화와 상기 제 2 암호화 모듈을 통한 제 2 암호화가 함께 이루어져 이중 암호화를 형성할 수 있다.
상기 적어도 하나의 보안 모듈은 (i) 상기 제 1 암호화 모듈, (ii) 제 2 암호화 모듈 및 (iii) 방화벽 모듈을 각각 제어하는 통합 보안 매니저를 포함할 수 있다.
상기 제 1 암호화 모듈, 상기 상기 제 2 암호화 모듈 및 상기 방화벽 모듈을 각각 제어하는 모듈은 컨테이너 기반 가상화로 구현될 수 있다.
상기 네트워크 모니터링 장치는, 상기 네트워크 성능과 관련된 지표를 기반으로 성능 또는 보안 관련 위험을 감지함에 응답하여, 상기 통합 보안 매니저에 명령하여 네트워크 차단을 수행할 수 있다.
상기 시스템은, 패킷을 미러링하여 상기 네트워크 모니터링 장치로 전달하는, 상기 5G 네트워크와 연결된 스위치를 더 포함하되, 상기 스위치는 Generic NIC 및 Smart NIC 중 적어도 하나에 의해 상기 패킷을 상기 네트워크 모니터링 장치로 전달할 수 있다.
본 발명에 따르면, 5G와 관련된 네트워크 서비스의 전체 영역에 대한 가시성 및 직관성을 확보하여, 5G 기반 네트워크 서비스의 보안 및 성능 문제에 선제적 관리(예방)이 이루어지게 하는 효과가 있다. 또한 본 발명의 통합 통신 장치에 따르면, 5G 장비 RAN(Radio Access Network) 및 코어(core)의 보안성 및 신뢰성을 확보하는 효과가 있다.
도 1은 종래 네트워크 서비스 관리를 수행하는 과정을 설명하기 위한 개념도이다.
도 2는 본 발명이 적용될 수 있는 무선통신 시스템을 예시한 개념도이다.
도 3은 사용자 평면(user plane)에 대한 무선 프로토콜 구조(radio protocol architecture)를 나타낸 블록도이다.
도 4는 제어 평면(control plane)에 대한 무선 프로토콜 구조를 나타낸 블록도이다.
도 5는 NR이 적용되는 차세대 무선 접속 네트워크(New Generation Radio Access Network: NG-RAN)의 시스템 구조를 예시한 개념도이다.
도 6은 NG-RAN과 5GC 간의 기능적 분할을 예시한 블록도이다.
도 7은 본 발명의 기술적 특징이 적용될 수 있는 무선 통신 시스템의 다른 예를 나타낸 도면이다.
도 8은 본 발명의 기술적 특징이 적용될 수 있는 무선 통신 시스템의 또 다른 예를 나타낸 도면이다.
도 9는 본 발명의 기술적 특징이 적용될 수 있는 5G 사용 시나리오의 예를 나타낸 도면이다.
도 10은 본 발명의 기술적 특징이 적용될 수 있는 무선 통신 시스템의 또 다른 예를 나타낸 도면이다.
도 11은 일례에 따른 네트워크 보안 모니터링 기능을 제공하는 5G NPN 보안 아키텍쳐이다.
도 12는 다른 예에 따른 네트워크 보안 모니터링 기능을 제공하는 5G NPN 보안 아키텍쳐이다.
도 13은 또 다른 예에 따른 네트워크 보안 모니터링 기능을 제공하는 5G NPN 보안 아키텍쳐이다.
도 14는 본 발명의 일 실시예에 따른 네트워크 모니터링 장치가 포함된 시스템을 나타낸 개념도이다.
도 15는 본 발명의 일 실시예에 따른 네트워크 모니터링 장치와 네트워크의 다른 장치와의 연결 구성을 나타낸 블록도이다.
도 16은 본 발명의 일 실시예에 따른 네트워크 모니터링 장치의 각 구간별 동작을 설명하기 위한 개념도이다.
도 17은 본 발명의 일 실시예에 따른 네트워크 모니터링 장치를 구체적으로 나타낸 블록도이다.
도 18은 본 발명의 일 실시예에 따른 통합 통신 장치에 관한 개념도이다.
도 19는 본 발명의 일 실시예에 따른 통합 통신 장치를 포함하는 각 노드별 기능을 설명하기 위한 블록도이다.
도 20은 제 1 암호화 기술을 보다 상세히 설명하기 위한 개념도이다.
도 21은 제 1 암호화 장비의 가상화와 관련된 내용을 설명하기 위한 개념도이다.
도 22는 제 2 암호화 기능을 설명하기 위한 개념도이다.
도 23은 다중 보안 채널 생성 및 다양한 팩터 인증이 가능한 구조로 제 1 암호화 모듈과 연계하여 동작하는 제 2 암호화 모듈을 설명하기 위한 개념도이다.
도 24는 방화벽 모듈의 기능을 보다 상세히 설명하기 위한 개념도이다.
도 25는 통합 보안 매니저의 기능을 보다 상세히 설명하기 위한 개념도이다.
도 26은 컨테이너 기반 가상화를 설명하기 위한 개념도이다.
도 27은 네트워크 모니터링 장치의 기능을 설명하기 위한 개념도이다.
도 28은 네트워크 모니터링 장치를 통한 트래픽 분석 과정을 보다 상세히 설명하기 위한 개념도이다.
도 29는 스위치가 단일 장비로 구현되는 통합 통신 장치 내의 각 기능 블록들로 데이터를 전달하는 과정을 설명하기 위한 블록도이다.
도 30a 및 도 30b는 다양한 사용 실시예를 나타낸 개념도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제 1, 제 2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
더욱 많은 통신 기기들이 더욱 큰 통신 용량을 요구하게 됨에 따라 기존의 무선 접속 기술(radio access technology; RAT)에 비해 향상된 모바일 브로드밴드(mobile broadband) 통신에 대한 필요성이 대두되고 있다. 또한 다수의 기기 및 사물들을 연결하여 언제 어디서나 다양한 서비스를 제공하는 매시브 MTC(massive Machine Type Communications) 역시 차세대 통신에서 고려될 주요 이슈 중 하나이다. 뿐만 아니라 신뢰도(reliability) 및 지연(latency)에 민감한 서비스/단말을 고려한 통신 시스템 디자인이 논의되고 있다. 이와 같이 확장된 모바일 브로드밴드 커뮤니케이션(enhanced mobile broadband communication), massive MTC, URLLC (Ultra-Reliable and Low Latency Communication) 등을 고려한 차세대 무선 접속 기술의 도입이 논의되고 있으며, 본 발명에서는 편의상 해당 기술(technology)을 new RAT, NR(NEW RADIO) 또는 5G 통신이라고 부른다.
특히, 5G 통신 네트워크에서는 장치 간의 통신이 5G가 요구하는 성능 범위 내에서 이루어지는 것을 가정하고 5G 네트워크 내의 장치들이 동작하기 때문에, 장치 간의 통신이 얼마나 신속하게 이루어지고 있는지, 만약 통신이 잘 이루어지고 있지 않다면, 성능 저하의 원인이 어디인지에 대한 신속한 파악이 매우 중요하다. 하지만, 이러한 성능 저하의 원인이 어디에 있는지를 명확히 파악하는 데에는 마땅한 서비스가 없어서 적절한 대응이 이루어지지 못하는 실정이다. 이러한 문제점은 결국 성능 저하의 문제에 적절히 대응하지 못하게 하고 성능 개선의 골든 타임(golden time)을 놓치게 되어 전체적인 시스템의 운영을 어렵게 하는 문제점을 야기한다.
본 명세서에 걸쳐서, 개체(entity)는 네트워크와 연관된 각종 장치들을 포함하고, 이는 사용자 단말("클라이언트 단말"이라고 부를 수 있음) 및/또는 서버 장치를 포함하는 용어이다. IoT 통신 환경에서, 사용자 단말은 IoT 디바이스라 불릴 수 있다.
사용자는 기본적으로 사용자 단말의 사용자를 의미한다. 다만, 경우에 따라 본 발명의 일 실시예에 따른 네트워크 모니터링 장치의 사용자를 의미하기도 한다. 네트워크 운영자 및/또는 네트워크 관리자는 네트워크 모니터링 장치와 관련된 네트워크를 관리하는 자로, 네트워크 모니터링 장치의 사용자를 의미할 수 있다. 이하에서 네트워크 모니터링 장치는 네트워크의 보안 및 성능 관련 지표를 산출하는 장치로서, 패킷 미러링 장치, 데이터 트래픽 분석 장치, 네트워크 성능 모니터링 장치, 또는 네트워크 보안 모니터링 장치라고 불릴 수도 있다. 또한, 네트워크 모니터링 장치는 네트워크 서비스의 상기 보안 및 성능 관련 지표를 시각화하는 장치로써 구현될 수 있으므로, 네트워크 모니터링 시각화 장치로 불릴 수 있다.
네트워크 모니터링 장치는 독립적인 장치로 존재할 수도 있으나, 네트워크 내의 다른 엔티티에 의해 구현되는 일 기능으로 구비될 수도 있다. 이 경우 네트워크 모니터링 장치는 네트워크 모니터링 기능(network monitoring function: 이하 NMF라 함)이라 불릴 수 있다. 따라서 서버로 입출력되는 패킷들을 모니터링하는 NMF는 네트워크 서버 모니터링 기능(network server monitoring function: NMSF)라 불릴 수 있고, 사용자 단말(또는 클라이언트 단말)을 모니터링하는 NMF는 네트워크 클라이언트 모니터링 기능(network client monitoring function: NMCF)라 불릴 수 있다.
이하에서, 네트워크 보안 및 성능이라는 용어는 서버, 통신망 및 클라이언트에서의 통신 보안 및 성능과 관련하여, 포괄적으로 사용될 수 있다.
LTE 및 5G 기반 통신 시스템
도 2는 본 발명이 적용될 수 있는 무선통신 시스템을 예시한다. 이는 E-UTRAN(Evolved-UMTS Terrestrial Radio Access Network), 또는 LTE(Long Term Evolution)/LTE-A 시스템이라고도 불릴 수 있다.
E-UTRAN은 단말(10: User Equipment, UE)에게 제어 평면(control plane)과 사용자 평면(user plane)을 제공하는 기지국(20: Base Station, BS)을 포함한다. 단말(10)은 고정되거나 이동성을 가질 수 있으며, MS(Mobile station), UT(User Terminal), SS(Subscriber Station), MT(mobile terminal), 무선기기(Wireless Device) 등 다른 용어로 불릴 수 있다. 기지국(20)은 단말(10)과 통신하는 고정된 지점(fixed station)을 말하며, eNB(evolved-NodeB), BTS(Base Transceiver System), 액세스 포인트(Access Point) 등 다른 용어로 불릴 수 있다.
기지국(20)들은 X2 인터페이스를 통하여 서로 연결될 수 있다. 기지국(20)은 S1 인터페이스를 통해 EPC(Evolved Packet Core, 30), 보다 상세하게는 S1-MME를 통해 MME(Mobility Management Entity)와 S1-U를 통해 S-GW(Serving Gateway)와 연결된다.
EPC(30)는 MME, S-GW 및 P-GW(Packet Data Network-Gateway)로 구성된다. MME는 단말의 접속 정보나 단말의 능력에 관한 정보를 가지고 있으며, 이러한 정보는 단말의 이동성 관리에 주로 사용된다. S-GW는 E-UTRAN을 종단점으로 갖는 게이트웨이이며, P-GW는 PDN을 종단점으로 갖는 게이트웨이이다.
단말과 네트워크 사이의 무선인터페이스 프로토콜(Radio Interface Protocol)의 계층들은 통신시스템에서 널리 알려진 개방형 시스템간 상호접속(Open System Interconnection: OSI) 기준 모델의 하위 3개 계층을 바탕으로 L1(제1계층), L2(제2계층), L3(제3계층)로 구분될 수 있는데, 이 중에서 제1계층에 속하는 물리계층은 물리채널(Physical Channel)을 이용한 정보전송서비스(Information Transfer Service)를 제공하며, 제 3계층에 위치하는 RRC(Radio Resource Control) 계층은 단말과 네트워크 간에 무선자원을 제어하는 역할을 수행한다. 이를 위해 RRC 계층은 단말과 기지국간 RRC 메시지를 교환한다.
도 3은 사용자 평면(user plane)에 대한 무선 프로토콜 구조(radio protocol architecture)를 나타낸 블록도이고, 도 4는 제어 평면(control plane)에 대한 무선 프로토콜 구조를 나타낸 블록도이다. 사용자 평면은 사용자 데이터 전송을 위한 프로토콜 스택(protocol stack)이고, 제어 평면은 제어신호 전송을 위한 프로토콜 스택이다.
도 3 및 4를 참조하면, 물리계층(PHY(physical) layer)은 물리채널(physical channel)을 이용하여 상위 계층에게 정보 전송 서비스(information transfer service)를 제공한다. 물리계층은 상위 계층인 MAC(Medium Access Control) 계층과는 전송채널(transport channel)을 통해 연결되어 있다. 전송채널을 통해 MAC 계층과 물리계층 사이로 데이터가 이동한다. 전송채널은 무선 인터페이스를 통해 데이터가 어떻게 어떤 특징으로 전송되는가에 따라 분류된다.
서로 다른 물리계층 사이, 즉 송신기와 수신기의 물리계층 사이는 물리채널을 통해 데이터가 이동한다. 상기 물리채널은 OFDM(Orthogonal Frequency Division Multiplexing) 방식으로 변조될 수 있고, 시간과 주파수를 무선자원으로 활용한다.
MAC 계층의 기능은 논리채널과 전송채널간의 맵핑 및 논리채널에 속하는 MAC SDU(service data unit)의 전송채널 상으로 물리채널로 제공되는 전송블록(transport block)으로의 다중화/역다중화를 포함한다. MAC 계층은 논리채널을 통해 RLC(Radio Link Control) 계층에게 서비스를 제공한다.
RLC 계층의 기능은 RLC SDU의 연결(concatenation), 분할(sEMGentation) 및 재결합(reassembly)를 포함한다. 무선베어러(Radio Bearer: RB)가 요구하는 다양한 QoS(Quality of Service)를 보장하기 위해, RLC 계층은 투명모드(Transparent Mode, TM), 비확인 모드(Unacknowledged Mode, UM) 및 확인모드(Acknowledged Mode, AM)의 세 가지의 동작모드를 제공한다. AM RLC는 ARQ(automatic repeat request)를 통해 오류 정정을 제공한다.
RRC(Radio Resource Control) 계층은 제어 평면에서만 정의된다. RRC 계층은 무선 베어러들의 설정(configuration), 재설정(re-configuration) 및 해제(release)와 관련되어 논리채널, 전송채널 및 물리채널들의 제어를 담당한다. RB는 단말과 네트워크간의 데이터 전달을 위해 제1 계층(PHY 계층) 및 제2 계층(MAC 계층, RLC 계층, PDCP 계층)에 의해 제공되는 논리적 경로를 의미한다.
사용자 평면에서의 PDCP(Packet Data Convergence Protocol) 계층의 기능은 사용자 데이터의 전달, 헤더 압축(header compression) 및 암호화(ciphering)를 포함한다. 제어 평면에서의 PDCP(Packet Data Convergence Protocol) 계층의 기능은 제어 평면 데이터의 전달 및 암호화/무결정 보호(integrity protection)를 포함한다.
RB가 설정된다는 것은 특정 서비스를 제공하기 위해 무선 프로토콜 계층 및 채널의 특성을 규정하고, 각각의 구체적인 파라미터 및 동작 방법을 설정하는 과정을 의미한다. RB는 다시 SRB(Signaling RB)와 DRB(Data RB) 두가지로 나누어 질 수 있다. SRB는 제어 평면에서 RRC 메시지를 전송하는 통로로 사용되며, DRB는 사용자 평면에서 사용자 데이터를 전송하는 통로로 사용된다.
단말의 RRC 계층과 E-UTRAN의 RRC 계층 사이에 RRC 연결(RRC Connection)이 확립되면, 단말은 RRC 연결(RRC connected) 상태에 있게 되고, 그렇지 못할 경우 RRC 아이들(RRC idle) 상태에 있게 된다.
네트워크에서 단말로 데이터를 전송하는 하향링크 전송채널로는 시스템정보를 전송하는 BCH(Broadcast Channel)과 그 이외에 사용자 트래픽이나 제어메시지를 전송하는 하향링크 SCH(Shared Channel)이 있다. 하향링크 멀티캐스트 또는 브로드캐스트 서비스의 트래픽 또는 제어메시지의 경우 하향링크 SCH를 통해 전송될 수도 있고, 또는 별도의 하향링크 MCH(Multicast Channel)을 통해 전송될 수도 있다. 한편, 단말에서 네트워크로 데이터를 전송하는 상향링크 전송채널로는 초기 제어메시지를 전송하는 RACH(Random Access Channel)와 그 이외에 사용자 트래픽이나 제어메시지를 전송하는 상향링크 SCH(Shared Channel)가 있다.
전송채널 상위에 있으며, 전송채널에 매핑되는 논리채널(Logical Channel)로는 BCCH(Broadcast Control Channel), PCCH(Paging Control Channel), CCCH(Common Control Channel), MCCH(Multicast Control Channel), MTCH(Multicast Traffic Channel) 등이 있다.
물리채널(Physical Channel)은 시간 영역에서 여러 개의 OFDM 심벌과 주파수 영역에서 여러 개의 부반송파(Sub-carrier)로 구성된다. 하나의 서브프레임(Sub-frame)은 시간 영역에서 복수의 OFDM 심벌(Symbol)들로 구성된다. 자원블록은 자원 할당 단위로, 복수의 OFDM 심벌들과 복수의 부반송파(sub-carrier)들로 구성된다. 또한 각 서브프레임은 PDCCH(Physical Downlink Control Channel) 즉, L1/L2 제어채널을 위해 해당 서브프레임의 특정 OFDM 심벌들(예, 첫번째 OFDM 심볼)의 특정 부반송파들을 이용할 수 있다. TTI(Transmission Time Interval)는 서브프레임 전송의 단위시간이다.
이하, 새로운 무선 접속 기술(new radio access technology: new RAT, NR)("5G"라고 부를 수 있음)에 대해 설명한다.
더욱 많은 통신 기기들이 더욱 큰 통신 용량을 요구하게 됨에 따라 기존의 무선 접속 기술(radio access technology; RAT)에 비해 향상된 모바일 브로드밴드(mobile broadband) 통신에 대한 필요성이 대두되고 있다. 또한 다수의 기기 및 사물들을 연결하여 언제 어디서나 다양한 서비스를 제공하는 매시브 MTC(massive Machine Type Communications) 역시 차세대 통신에서 고려될 주요 이슈 중 하나이다. 뿐만 아니라 신뢰도(reliability) 및 지연(latency)에 민감한 서비스/단말을 고려한 통신 시스템 디자인이 논의되고 있다. 이와 같이 확장된 모바일 브로드밴드 커뮤니케이션(enhanced mobile broadband communication), massive MTC, URLLC (Ultra-Reliable and Low Latency Communication) 등을 고려한 차세대 무선 접속 기술의 도입이 논의되고 있으며, 본 발명에서는 편의상 해당 기술(technology)을 new RAT, NR 또는 5G라고 부른다.
도 5는 NR이 적용되는 차세대 무선 접속 네트워크(New Generation Radio Access Network: NG-RAN)의 시스템 구조를 예시한다.
도 5를 참조하면, NG-RAN은, 단말에게 사용자 평면 및 제어 평면 프로토콜 종단(termination)을 제공하는 gNB 및/또는 eNB를 포함할 수 있다. 도 4에서는 gNB만을 포함하는 경우를 예시한다. gNB 및 eNB는 상호 간에 Xn 인터페이스로 연결되어 있다. gNB 및 eNB는 5세대 코어 네트워크(5G Core Network: 5GC)와 NG 인터페이스를 통해 연결되어 있다. 보다 구체적으로, AMF(access and mobility management function)과는 NG-C 인터페이스를 통해 연결되고, UPF(user plane function)과는 NG-U 인터페이스를 통해 연결된다.
도 6은 NG-RAN과 5GC 간의 기능적 분할을 예시한다.
도 6을 참조하면, gNB는 인터 셀 간의 무선 자원 관리(Inter Cell RRM), 무선 베어러 관리(RB control), 연결 이동성 제어(Connection Mobility Control), 무선 허용 제어(Radio Admission Control), 측정 설정 및 제공(Measurement configuration & Provision), 동적 자원 할당(dynamic resource allocation) 등의 기능을 제공할 수 있다. AMF는 NAS 보안, 아이들 상태 이동성 처리 등의 기능을 제공할 수 있다. UPF는 이동성 앵커링(Mobility Anchoring), PDU 처리 등의 기능을 제공할 수 있다. SMF(Session Management Function)는 단말 IP 주소 할당, PDU 세션 제어 등의 기능을 제공할 수 있다.
도 7은 본 발명의 기술적 특징이 적용될 수 있는 무선 통신 시스템의 다른 예를 나타낸 도면이다. 구체적으로, 도 7은 5G NR(new radio access technology) 시스템에 기초한 시스템 아키텍처를 도시한다. 5G NR 시스템(이하, 간단히 "NR"이라 칭함)에서 사용되는 개체는 도 2에서 소개된 개체(예를 들어, eNB, MME, S-GW)의 일부 또는 모든 기능을 흡수할 수 있다. NR 시스템에서 사용되는 개체는 LTE와 구별하기 위해 "NG"라는 이름으로 식별될 수 있다.
이하 NR에 대하여, 후술하는 설명의 이해를 돕기 위해, 3GPP TS 38 시리즈(3GPP TS 38.211, 38.212, 38.213, 38.214, 38.331 등)가 참조될 수 있다.
도 7을 참조하면, 무선 통신 시스템은 하나 이상의 UE(11), NG-RAN(next-generation RAN) 및 5세대 코어 네트워크(5GC)를 포함한다. NG-RAN은 적어도 하나의 NG-RAN 노드로 구성된다. NG-RAN 노드는 도 2에 도시된 BS(20)에 대응하는 개체이다. NG-RAN 노드는 적어도 하나의 gNB(21) 및/또는 적어도 하나의 ng-eNB (22)로 구성된다. gNB(21)는 UE(11)를 향한 NR 사용자 평면 및 제어 평면 프로토콜의 종단을 제공한다. Ng-eNB(22)는 UE(11)를 향한 E-UTRA 사용자 평면 및 제어 평면 프로토콜의 종단을 제공한다.
5GC는 AMF(access and mobility management function), UPF(user plane function) 및 SMF(session management function)을 포함한다. AMF는 NAS 보안, 아이들 상태 이동성 처리 등과 같은 기능을 호스트 한다. AMF는 종래 MME의 기능을 포함하는 개체이다. UPF는 이동성 앵커링, PDU(protocol data unit) 처리와 같은 기능을 호스트 한다. UPF는 종래의 S-GW의 기능을 포함하는 개체이다. SMF는 UE IP 주소 할당, PDU 세션 제어와 같은 기능을 호스트 한다.
gNB와 ng-eNB는 Xn 인터페이스를 통해 상호 연결된다. gNB 및 ng-eNB는 또한 NG 인터페이스를 통해 5GC에 연결된다. 보다 구체적으로는, NG-C 인터페이스를 통해 AMF에, 그리고 NG-U 인터페이스를 통해 UPF에 연결된다.
도 8은 본 발명의 기술적 특징이 적용될 수 있는 무선 통신 시스템의 또 다른 예를 나타낸 도면이다. 구체적으로, 도 8은 LTE 시스템에 기초한 시스템 아키텍처를 도시한다. NR에서 사용되는 개체는 도 5에서 소개된 개체(예를 들어, gNB, AMF, UPF)의 일부 또는 모든 기능을 흡수할 수 있다. LTE 시스템에서 사용되는 개체는 NR과 구별하기 위해 "EN"라는 이름으로 식별될 수 있다.
도 8을 참조하면, 무선 통신 시스템은 하나 이상의 UE(11), E-UTRAN 및 EPC를 포함한다. E-UTRAN은 적어도 하나의 E-UTRAN 노드로 구성된다. E-UTRAN 노드는 도 2에 도시된 BS(20)에 대응하는 개체이다. E-UTRAN 노드는 적어도 하나의 en-gNB(23) 및/또는 적어도 하나의 eNB(20)로 구성된다. en-gNB(23)는 UE(11)를 향한 NR 사용자 평면 및 제어 평면 프로토콜의 종단을 제공한다. eNB(20)는 UE(11)를 향한 E-UTRAN 사용자 평면 및 제어 평면 프로토콜의 종단을 제공한다.
EPC는 MME 및 S-GW를 포함한다. en-gNB와 eNB는 X2 인터페이스를 통해 상호 연결된다. en-gNB 및 eNB는 S1 인터페이스를 통해 EPC에 연결된다. 보다 구체적으로는, S1-U 및/또는 S1 인터페이스를 통해 MME 및/또는 S-GW에 연결된다.
도 9는 본 발명의 기술적 특징이 적용될 수 있는 5G 사용 시나리오의 예를 나타낸 도면이다. 도 9에 도시된 5G 사용 시나리오는 단지 예시적인 것이며, 본 발명의 기술적 특징은 도 9에 도시되지 않은 다른 5G 사용 시나리오에도 적용될 수 있다.
도 9를 참조하면, 5G의 세 가지 주요 요구 사항 영역은 (1) 개선된 모바일 광대역(eMBB; enhanced mobile broadband) 영역, (2) 다량의 머신 타입 통신(mMTC; massive machine type communication) 영역 및 (3) 초-신뢰 및 저 지연 통신(URLLC; ultra-reliable and low latency communications) 영역을 포함한다. 일부 사용 예는 최적화를 위해 다수의 영역을 요구할 수 있고, 다른 사용 예는 단지 하나의 핵심 성능 지표(KPI; key performance indicator)에만 포커싱 할 수 있다. 5G는 이러한 다양한 사용 예들을 유연하고 신뢰할 수 있는 방법으로 지원하는 것이다.
eMBB는 데이터 속도, 지연, 사용자 밀도, 모바일 광대역 접속의 용량 및 커버리지의 전반적인 향상에 중점을 둔다. eMBB는 10Gbps 정도의 처리량을 목표로 한다. eMBB는 기본적인 모바일 인터넷 접속을 훨씬 능가하게 하며, 풍부한 양방향 작업, 클라우드 또는 증강 현실에서 미디어 및 엔터테인먼트 애플리케이션을 커버한다. 데이터는 5G의 핵심 동력 중 하나이며, 5G 시대에서 처음으로 전용 음성 서비스를 볼 수 없을 수 있다. 5G에서, 음성은 단순히 통신 시스템에 의해 제공되는 데이터 연결을 사용하여 응용 프로그램으로서 처리될 것으로 기대된다. 증가된 트래픽 양의 주요 원인은 콘텐츠 크기의 증가 및 높은 데이터 전송률을 요구하는 애플리케이션 수의 증가이다. 스트리밍 서비스(오디오 및 비디오), 대화형 비디오 및 모바일 인터넷 연결은 더 많은 장치가 인터넷에 연결될수록 더 널리 사용될 것이다. 이러한 많은 애플리케이션은 사용자에게 실시간 정보 및 알림을 푸쉬하기 위해 항상 켜져 있는 연결성을 필요로 한다. 클라우드 스토리지 및 애플리케이션은 모바일 통신 플랫폼에서 급속히 증가하고 있으며, 이것은 업무 및 엔터테인먼트 모두에 적용될 수 있다. 클라우드 스토리지는 상향링크 데이터 전송률의 성장을 견인하는 특별한 사용 예이다. 5G는 또한 클라우드 상의 원격 업무에도 사용되며, 촉각 인터페이스가 사용될 때 우수한 사용자 경험을 유지하도록 훨씬 더 낮은 단-대-단(end-to-end) 지연을 요구한다. 엔터테인먼트에서 예를 들면, 클라우드 게임 및 비디오 스트리밍은 모바일 광대역 능력에 대한 요구를 증가시키는 또 다른 핵심 요소이다. 엔터테인먼트는 기차, 차 및 비행기와 같은 높은 이동성 환경을 포함하여 어떤 곳에서든지 스마트폰 및 태블릿에서 필수적이다. 또 다른 사용 예는 엔터테인먼트를 위한 증강 현실 및 정보 검색이다. 여기서, 증강 현실은 매우 낮은 지연과 순간적인 데이터 양을 필요로 한다.
mMTC는 배터리에 의해 구동되는 다량의 저비용 장치 간의 통신을 가능하게 하기 위하여 설계되며, 스마트 계량, 물류, 현장 및 신체 센서와 같은 애플리케이션을 지원하기 위한 것이다. mMTC는 10년 정도의 배터리 및/또는 1km2 당 백만 개 정도의 장치를 목표로 한다. mMTC는 모든 분야에서 임베디드 센서를 원활하게 연결할 수 있게 하며, 가장 많이 예상되는 5G 사용 예 중 하나이다. 잠재적으로 2020년까지 IoT 장치들은 204억 개에 이를 것으로 예측된다. 산업 IoT는 5G가 스마트 도시, 자산 추적(asset tracking), 스마트 유틸리티, 농업 및 보안 인프라를 가능하게 하는 주요 역할을 수행하는 영역 중 하나이다.
URLLC는 장치 및 기계가 매우 신뢰성 있고 매우 낮은 지연 및 높은 가용성으로 통신할 수 있도록 함으로써 차량 통신, 산업 제어, 공장 자동화, 원격 수술, 스마트 그리드 및 공공 안전 애플리케이션에 이상적이다. URLLC는 1ms의 정도의 지연을 목표로 한다. URLLC는 주요 인프라의 원격 제어 및 자율 주행 차량과 같은 초 신뢰/지연이 적은 링크를 통해 산업을 변화시킬 새로운 서비스를 포함한다. 신뢰성과 지연의 수준은 스마트 그리드 제어, 산업 자동화, 로봇 공학, 드론 제어 및 조정에 필수적이다.
다음으로, 도 9의 삼각형 안에 포함된 다수의 사용 예에 대해 보다 구체적으로 살펴본다.
5G는 초당 수백 메가 비트에서 초당 기가 비트로 평가되는 스트림을 제공하는 수단으로 FTTH(fiber-to-the-home) 및 케이블 기반 광대역(또는 DOCSIS)을 보완할 수 있다. 이러한 빠른 속도는 가상 현실(VR; virtual reality)과 증강 현실(AR; augmented reality) 뿐 아니라 4K 이상(6K, 8K 및 그 이상)의 해상도로 TV를 전달하는 데에 요구될 수 있다. VR 및 AR 애플리케이션은 거의 몰입형(immersive) 스포츠 경기를 포함한다. 특정 애플리케이션은 특별한 네트워크 설정이 요구될 수 있다. 예를 들어, VR 게임의 경우, 게임 회사가 지연을 최소화하기 위해 코어 서버를 네트워크 오퍼레이터의 에지 네트워크 서버와 통합해야 할 수 있다.
자동차(Automotive)는 차량에 대한 이동 통신을 위한 많은 사용 예와 함께 5G에 있어 중요한 새로운 동력이 될 것으로 예상된다. 예를 들어, 승객을 위한 엔터테인먼트는 높은 용량과 높은 모바일 광대역을 동시에 요구한다. 그 이유는 미래의 사용자는 그들의 위치 및 속도와 관계 없이 고품질의 연결을 계속해서 기대하기 때문이다. 자동차 분야의 다른 사용 예는 증강 현실 대시보드이다. 운전자는 증강 현실 대비보드를 통해 앞면 창을 통해 보고 있는 것 위에 어둠 속에서 물체를 식별할 수 있다. 증강 현실 대시보드는 물체의 거리와 움직임에 대해 운전자에게 알려줄 정보를 겹쳐서 디스플레이 한다. 미래에, 무선 모듈은 차량 간의 통신, 차량과 지원하는 인프라구조 사이에서 정보 교환 및 자동차와 다른 연결된 장치(예를 들어, 보행자에 의해 수반되는 장치) 사이에서 정보 교환을 가능하게 한다. 안전 시스템은 운전자가 보다 안전한 운전을 할 수 있도록 행동의 대체 코스를 안내하여 사고의 위험을 낮출 수 있게 한다. 다음 단계는 원격 조종 차량 또는 자율 주행 차량이 될 것이다. 이는 서로 다른 자율 주행 차량 사이 및/또는 자동차와 인프라 사이에서 매우 신뢰성이 있고 매우 빠른 통신을 요구한다. 미래에, 자율 주행 차량이 모든 운전 활동을 수행하고, 운전자는 차량 자체가 식별할 수 없는 교통 이상에만 집중하도록 할 것이다. 자율 주행 차량의 기술적 요구 사항은 트래픽 안전을 사람이 달성할 수 없을 정도의 수준까지 증가하도록 초 저 지연과 초고속 신뢰성을 요구한다.
스마트 사회로서 언급되는 스마트 도시와 스마트 홈은 고밀도 무선 센서 네트워크로 임베디드 될 것이다. 지능형 센서의 분산 네트워크는 도시 또는 집의 비용 및 에너지 효율적인 유지에 대한 조건을 식별할 것이다. 유사한 설정이 각 가정을 위해 수행될 수 있다. 온도 센서, 창 및 난방 컨트롤러, 도난 경보기 및 가전 제품은 모두 무선으로 연결된다. 이러한 센서 중 많은 것들이 전형적으로 낮은 데이터 전송 속도, 저전력 및 저비용을 요구한다. 하지만, 예를 들어, 실시간 HD 비디오는 감시를 위해 특정 타입의 장치에서 요구될 수 있다.
<인공 지능(AI: Artificial Intelligence)>
인공 지능은 인공적인 지능 또는 이를 만들 수 있는 방법론을 연구하는 분야를 의미하며, 머신 러닝(기계 학습, Machine Learning)은 인공 지능 분야에서 다루는 다양한 문제를 정의하고 그것을 해결하는 방법론을 연구하는 분야를 의미한다. 머신 러닝은 어떠한 작업에 대하여 꾸준한 경험을 통해 그 작업에 대한 성능을 높이는 알고리즘으로 정의하기도 한다.
인공 신경망(ANN: Artificial Neural Network)은 머신 러닝에서 사용되는 모델로써, 시냅스의 결합으로 네트워크를 형성한 인공 뉴런(노드)들로 구성되는, 문제 해결 능력을 가지는 모델 전반을 의미할 수 있다. 인공 신경망은 다른 레이어의 뉴런들 사이의 연결 패턴, 모델 파라미터를 갱신하는 학습 과정, 출력값을 생성하는 활성화 함수(Activation Function)에 의해 정의될 수 있다.
인공 신경망은 입력층(Input Layer), 출력층(Output Layer), 그리고 선택적으로 하나 이상의 은닉층(Hidden Layer)를 포함할 수 있다. 각 층은 하나 이상의 뉴런을 포함하고, 인공 신경망은 뉴런과 뉴런을 연결하는 시냅스를 포함할 수 있다. 인공 신경망에서 각 뉴런은 시냅스를 통해 입력되는 입력 신호들, 가중치, 편향에 대한 활성 함수의 함숫값을 출력할 수 있다.
모델 파라미터는 학습을 통해 결정되는 파라미터를 의미하며, 시냅스 연결의 가중치와 뉴런의 편향 등이 포함된다. 그리고, 하이퍼파라미터는 머신 러닝 알고리즘에서 학습 전에 설정되어야 하는 파라미터를 의미하며, 학습률(Learning Rate), 반복 횟수, 미니 배치 크기, 초기화 함수 등이 포함된다.
인공 신경망의 학습의 목적은 손실 함수를 최소화하는 모델 파라미터를 결정하는 것으로 볼 수 있다. 손실 함수는 인공 신경망의 학습 과정에서 최적의 모델 파라미터를 결정하기 위한 지표로 이용될 수 있다.
머신 러닝은 학습 방식에 따라 지도 학습(Supervised Learning), 비지도 학습(Unsupervised Learning), 강화 학습(Reinforcement Learning)으로 분류할 수 있다.
지도 학습은 학습 데이터에 대한 레이블(label)이 주어진 상태에서 인공 신경망을 학습시키는 방법을 의미하며, 레이블이란 학습 데이터가 인공 신경망에 입력되는 경우 인공 신경망이 추론해 내야 하는 정답(또는 결과 값)을 의미할 수 있다. 비지도 학습은 학습 데이터에 대한 레이블이 주어지지 않는 상태에서 인공 신경망을 학습시키는 방법을 의미할 수 있다. 강화 학습은 어떤 환경 안에서 정의된 에이전트가 각 상태에서 누적 보상을 최대화하는 행동 혹은 행동 순서를 선택하도록 학습시키는 학습 방법을 의미할 수 있다.
인공 신경망 중에서 복수의 은닉층을 포함하는 심층 신경망(DNN: Deep Neural Network)으로 구현되는 머신 러닝을 딥 러닝(심층 학습, Deep Learning)이라 부르기도 하며, 딥 러닝은 머신 러닝의 일부이다. 이하에서, 머신 러닝은 딥 러닝을 포함하는 의미로 사용된다.
<로봇(Robot)>
로봇은 스스로 보유한 능력에 의해 주어진 일을 자동으로 처리하거나 작동하는 기계를 의미할 수 있다. 특히, 환경을 인식하고 스스로 판단하여 동작을 수행하는 기능을 갖는 로봇을 지능형 로봇이라 칭할 수 있다.
로봇은 사용 목적이나 분야에 따라 산업용, 의료용, 가정용, 군사용 등으로 분류할 수 있다.
로봇은 액츄에이터 또는 모터를 포함하는 구동부를 구비하여 로봇 관절을 움직이는 등의 다양한 물리적 동작을 수행할 수 있다. 또한, 이동 가능한 로봇은 구동부에 휠, 브레이크, 프로펠러 등이 포함되어, 구동부를 통해 지상에서 주행하거나 공중에서 비행할 수 있다.
<자율 주행(Self-Driving, Autonomous-Driving)>
자율 주행은 스스로 주행하는 기술을 의미하며, 자율 주행 차량은 사용자의 조작 없이 또는 사용자의 최소한의 조작으로 주행하는 차량(Vehicle)을 의미한다.
예컨대, 자율 주행에는 주행중인 차선을 유지하는 기술, 어댑티브 크루즈 컨트롤과 같이 속도를 자동으로 조절하는 기술, 정해진 경로를 따라 자동으로 주행하는 기술, 목적지가 설정되면 자동으로 경로를 설정하여 주행하는 기술 등이 모두 포함될 수 있다.
차량은 내연 기관만을 구비하는 차량, 내연 기관과 전기 모터를 함께 구비하는 하이브리드 차량, 그리고 전기 모터만을 구비하는 전기 차량을 모두 포괄하며, 자동차뿐만 아니라 기차, 오토바이 등을 포함할 수 있다.
이때, 자율 주행 차량은 자율 주행 기능을 가진 로봇으로 볼 수 있다.
<확장 현실(XR: eXtended Reality)>
확장 현실은 가상 현실(VR: Virtual Reality), 증강 현실(AR: Augmented Reality), 혼합 현실(MR: Mixed Reality)을 총칭한다. VR 기술은 현실 세계의 객체나 배경 등을 CG 영상으로만 제공하고, AR 기술은 실제 사물 영상 위에 가상으로 만들어진 CG 영상을 함께 제공하며, MR 기술은 현실 세계에 가상 객체들을 섞고 결합시켜서 제공하는 컴퓨터 그래픽 기술이다.
MR 기술은 현실 객체와 가상 객체를 함께 보여준다는 점에서 AR 기술과 유사하다. 그러나, AR 기술에서는 가상 객체가 현실 객체를 보완하는 형태로 사용되는 반면, MR 기술에서는 가상 객체와 현실 객체가 동등한 성격으로 사용된다는 점에서 차이점이 있다.
XR 기술은 HMD(Head-Mount Display), HUD(Head-Up Display), 휴대폰, 태블릿 PC, 랩탑, 데스크탑, TV, 디지털 사이니지 등에 적용될 수 있고, XR 기술이 적용된 장치를 XR 장치(XR Device)라 칭할 수 있다.
5G NPN과 네트워크 보안 모니터링
도 10은 본 발명의 기술적 특징이 적용될 수 있는 무선 통신 시스템의 또 다른 예를 나타낸 도면이다. 구체적으로, 도 10은 5G NPN(non-public network) 시스템에 기초한 시스템 아키텍처를 도시한다. 3GPP TS 22.261에 따르면, NPN은 사설 네트워크로 불리우며, 기업의 사설망 구축을 위해 사용될 수 있으며 5G 통신 시스템의 가상 및 물리적 요소를 사용하는 다양한 구성(configuration)으로 구현될 수 있다. 여기서, NPN은 완전히 독립적인 네트워크로 존재할 수도 있고, PLMN에 의해 호스팅될 수도 있으며, PLMN의 슬라이스 형태로 제공될 수도 있다. 이 밖에도 NPN은 기업 업무망, 기업 전용망, 기업 사설망, 정부 업무망, 정부 전용망, 정부 사설망, 스마트 팩토리 전용망, 스마트 시티 전용망 등 다양한 다른 명칭으로 불릴 수 있다.
5G NPN은 고품질의 서비스 요구사항, 전용의 보안 크리덴셜(credential)을 사용하는 높은 보안 요구사항, 보안/프라이버시/성능/안전의 보장 및 오동작 방지를 위한 공공 5G 네트워크로부터의 격리(isolation)를 위해 바람직하다.
5G 기술은 5G의 요구사항인 URLLC를 이용하여 스마트 공장과 스마트 시티에서의 실시간 IoT 장치들에 기반한 5G 버티컬(vertical) 서비스를 구축하는데 사용된다. 이러한 5G 버티컬 서비스들이 5G NPN으로 구현되는 경우, 5G NPN은 IoT 장치들의 시간민감(time-sensitive) 데이터를 처리할 때 보안과 성능의 관점에서 5G의 요구사항을 만족해야 한다.
도 10을 참조하면, 5G NPN은 RAN과 5GC를 포함할 수 있다. 5G NPN에는 다른 NPN과의 식별을 위한 ID(NPN ID)가 할당될 수 있다. 여러 서비스 제공자들(service provider: SP) SP#1, SP#2, ?? SP#N이 5G NPN에 캠핑(caping) 또는 연결된(connected) 각 단말들 (UE#A, UE#B)에게 URLLC 패킷 서비스를 제공할 수 있다.
이때, 5G NPN에서의 보안 및 성능 모니터링을 위해 무선접속망(RAN)내의 개체 또는 5G 코어망 내의 개체에는 NMSF가 구비되고, 사용자 단말(UE#A, UE#B)에는 NMCF가 구비될 수 있다. 그리고 NMSF와 NMCF간에는 특정한 프로토콜이 정의되어 성능 또는 보안에 관련된 신호를 주고 받을 수 있다. 즉 5G NPN에 NMSF와 NMCF가 구비되면, 네트워크 운영자는 네트워크 노드들과 종단 사용자 단말간의 통신 경로상에서 발생하는 다양한 보안 및 성능 상의 문제를 모니터링할 수 있고, 그에 따라 5G NPN에 기반하여 제공되는 다양한 버티컬 서비스(i.e. URLLC 서비스)를 효율적으로 제공할 수 있다.
5G NPN 보안 아키텍쳐는 네트워크 내부 또는 외부로부터의 위협을 효과적으로 제거하고 그에 따른 위험을 최소화함으로써 URLLC 요구사항을 만족하는 버티컬 서비스를 제공한다. 이를 위해, 본 실시예에 따른 5G NPN 보안 아키텍쳐는 NMF에 의해 구성될 수 있다. NMF는 NMSF와 NMCF를 포함한다. 여기서, NMF는 네트워크 노드에 전개되는(deployed) 딥 패킷 감시(deep packet inspection: DPI) 기능 또는 전용의(dedicated) DPI 네트워크 노드에 의해 구현될 수 있다. 이하에서는 도 10을 기초로 NMSF와 NMCF를 포함하는 5G NPN 아키텍쳐를 구성하는 방법에 관하여 개시된다.
도 11은 일례에 따른 네트워크 보안 모니터링 기능을 제공하는 5G NPN 보안 아키텍쳐이다.
도 11을 참조하면, NMCF는 모듈로서 5G NPN을 구성하는 단말(또는 클라이언트 노드)에 융합된 형태(integrated)로서 구성될 수 있다. 예를 들어 NMCF는 소프트웨어로서 단말의 칩 또는 메모리에 저장되고, 단말(또는 클라이언트 노드)의 보안 또는 성능을 모니터링하는 동작을 수행할 수 있다.
NMSF는 5G NPN을 구성하는 컴퓨팅 집합 내의 특정 네트워크 노드에 융합된 형태(integrated)로서 구성될 수 있다. 일례로서, NMSF는 컴퓨팅 집합인 MEC (multiple-access edge computing) 또는 MEC 내의 적어도 하나의 노드(예를 들어 서버 노드)에 융합된 형태로서 구성될 수 있다. 이때 NMSF는 소프트웨어로서 상기 적어도 하나의 노드 내의 칩 또는 메모리에 저장되어, 상기 적어도 하나의 노드에서 입출력되는 N3 인터페이스의 패킷들을 통해 5G NPN의 보안 또는 성능을 모니터링하는 동작을 수행할 수 있다. 여기서 MEC는 분산 클라우드 컴퓨팅 기술을 적용하여 다양한 서비스와 캐싱 콘텐츠를 이용자 단말에 가까이 전개함으로써 코어 네트워크의 혼잡을 완화하고, 새로운 로컬 서비스를 창출하는 기술이다. MEC는 MEC DP(data plane)와 연결될 수 있다.
NMCF는 사용자 단말, 특히 IoT 장치에 융합되어 gNB와 통신을 수행할 수 있다. NMCF를 IoT 장치에 실장(mounting)하는 것은 5G NPN에서 보안과 URLLC 성능을 보장하기 위한 효과적인 수단들 중에 하나이다. NMCF는 소프트웨어로 구현될 수 있으며, 종단 검출 및 응답(endpoint detection and response : EDR 엔터티 또는 마이크로 엔진(micro engine : ME)라 불릴 수 있다. NMCF 서버는 5G NPN 내에 또는 엣지 클라우드(edge cloud)에 또는 공용 네트워크 도메인 내에 위치할 수 있다. 단말들은 gNB와 무선으로 연결된다. 각 단말은 gNB로 패킷을 전송하거나 gNB로부터 패킷을 수신한다. gNB는 5G 코어망에 연결되거나 N3 인터페이스를 통해 로컬 네트워크에 연결될 수 있다. 이때 패킷들은 N3 인터페이스를 통해 흐른다.
도 12는 다른 예에 따른 네트워크 보안 모니터링 기능을 제공하는 5G NPN 보안 아키텍쳐이다.
도 12를 참조하면, NMCF는 모듈로서 5G NPN을 구성하는 단말(또는 클라이언트 노드)에 융합된 형태로서 구성될 수 있다. 예를 들어 NMCF는 소프트웨어로서 단말의 칩 또는 메모리에 저장되고, 단말(또는 클라이언트 노드)의 보안 또는 성능을 모니터링하는 동작을 수행할 수 있다.
NMSF는 5G NPN을 구성하는 독립적인 네트워크 노드로서, 다른 네트워크 노드 또는 엔터티와 분리되어 구성될 수 있다. 예를 들어, NMSF는 UPF 또는 MEC로부터 분리된 독립적인 네트워크 노드로서 구성될 수 있다.
일 측면에서, NMSF는 UPF의 입력단(예를 들어 N3 인터페이스) 또는 출력단(예를 들어 N4 인터페이스)에 커플링되거나 MEC의 입력단 또는 출력단에 커플링되어, N3 및/또는 N4 인터페이스의 패킷들을 통해 5G NPN의 보안 또는 성능을 모니터링할 수 있다. NMSF가 UPF의 출력단에 커플링되는 경우, 5G NPN 보안 아키텍처는 N4 인터페이스의 패킷들을 미러링하기 위해 N4 인터페이스를 분기시키는 스위칭 장치를 더 구비할 수 있다.
NMCF와 NMSF는 상호간에 NMCF에서의 모니터링 결과와 같은 보안 관련 신호를 공유하기 위해 예를 들어 N3 및/또는 N4 인터페이스를 통해 통신을 수행할 수 있으며, 보안 관련 신호의 공유는 NMSF를 위해 지정된(designated) IP에 기반할 수 있다. 만약 5G NPN이 IPSec과 같은 노드와 노드간 암호화 기능(encryption function)을 사용하는 경우, NMSF는 상기 노드로부터 해독된 패킷이 출력되는 지점에 구성될 수 있다.
도 13은 또 다른 예에 따른 네트워크 보안 모니터링 기능을 제공하는 5G NPN 보안 아키텍쳐이다. 도 13에서는 복수의 NMSF가 하나의 5G NPN 내에 구성되는 점에서 도 11 및 도 12와 다르다.
도 13을 참조하면, NMCF는 모듈로서 5G NPN을 구성하는 단말(또는 클라이언트 노드)에 융합된 형태로서 구성될 수 있다. 예를 들어 NMCF는 소프트웨어로서 단말의 칩 또는 메모리에 저장되고, 단말(또는 클라이언트 노드)의 보안 또는 성능을 모니터링하는 동작을 수행할 수 있다.
복수의 NMSF가 5G NPN 내에서 구성될 수 있다. 제1 NMSF는 5G NPN을 구성하는 컴퓨팅 집합 내의 특정 네트워크 노드에 융합된 형태(integrated)로서 구성될 수 있다. 일례로서, 제1 NMSF는 컴퓨팅 집합인 MEC 또는 MEC 내의 적어도 하나의 노드(예를 들어 서버 노드)에 융합된 형태로서 구성될 수 있다. 이때 제1 NMSF는 소프트웨어로서 상기 적어도 하나의 노드 내의 칩 또는 메모리에 저장되어, 상기 적어도 하나의 노드에서 입출력되는 N6 인터페이스의 패킷들을 통해 5G NPN의 보안 또는 성능을 모니터링하는 동작을 수행할 수 있다.
그리고 제2 NMSF는 5G NPN을 구성하는 독립적인 네트워크 노드로서, 다른 네트워크 노드 또는 엔터티와 분리되어 구성될 수 있다. 예를 들어, 제2 NMSF는 UPF 또는 MEC로부터 분리된 독립적인 네트워크 노드로서 구성될 수 있다. 일 측면에서, 제2 NMSF는 UPF의 입력단(예를 들어 N3 인터페이스) 또는 출력단(예를 들어 N4 인터페이스)에 커플링되어 N3 및/또는 N4 인터페이스의 패킷들을 통해 5G NPN의 보안 또는 성능을 모니터링할 수 있다. NMSF가 UPF의 출력단에 커플링되는 경우, 5G NPN 보안 아키텍처는 N4 인터페이스의 패킷들을 미러링하기 위해 N4 인터페이스를 분기시키는 스위칭 장치를 더 구비할 수 있다.
NMCF와 제1 NMSF 및/또는 제2 NMSF는 상호간에 NMCF에서의 모니터링 결과와 같은 보안 관련 신호를 공유하기 위해 예를 들어 N3 및/또는 N4 인터페이스를 통해 통신을 수행할 수 있으며, 보안 관련 신호의 공유는 제1 및/또는 제2 NMSF를 위해 지정된(designated) IP에 기반할 수 있다. 만약 5G NPN이 IPSec과 같은 노드와 노드간 암호화 기능(encryption function)을 사용하는 경우, 제1 및/또는 제2 NMSF는 상기 노드로부터 해독된 패킷이 출력되는 지점에 구성될 수 있다.
전술된 도 11 내지 도 13는 하나 또는 둘 이상의 NMSF와 하나 또는 둘 이상의 NMCF가 5G NPN 내에서 다양한 형태로 배치되는 5G NPN 보안 아키텍쳐의 실시예들이다. 그러나 상기 도 11 내지 도 13에 따른 5G NPN 보안 아키텍쳐들은 상호간에 배타적이지 않으며, 네트워크 특성과 비용에 따라 하나 또는 둘 이상이 조합된 실시예로서 구현될 수도 있다. 또한 NMSF와 NMCF가 5G NPN 내에서 전개되는 실시예는 도 11 내지 도 13 이외에도 다양하게 도출될 수 있으며, 예를 들어 NMSF들이 UPF 및/또는 MEC와는 무관한 다른 네트워크 엔터티 또는 네트워크 노드에 융합될 수도 있음은 물론이다.
본 명세서에 따른 5G NPN 보안 아키텍쳐에 따르면, NMSF와 NMCF에 기반하여 효과적인 5G NPN에서의 보안과 성능 모니터링이 달성될 수 있다.
이하에서는 5G NPN 보안 아키텍쳐를 구성하는 NMSF와 NMCF의 기능에 관하여 보다 상세히 개시된다.
먼저 NMSF는 다음의 기능들 중 적어도 하나의 기능을 수행하도록 구성된다.
일례로서, NMSF는 클라이언트 노드와 서버 노드 사이에서 송수신되는 패킷을 미러링함으로써 적어도 하나의 미러링된 패킷을 획득하는 기능을 수행한다. 여기서 클라이언트 노드는 예를 들어 사용자 단말 또는 IoT 장치일 수 있다. 패킷 미러링은 특정 노드에서 교환되는 패킷을 실시간으로 수집하고 분석하는 기법이다. NMSF는 또한 패킷 미러링을 위해 노드간 연결선로를 분기시키는 스위칭 기능 또는 스위칭 장치(스위치라 불릴 수 있음)를 더 포함할 수 있다.
다른 예로서, NMSF는 상기 미러링된 패킷에 포함된 정보에 기반하여 5G NPN의 보안과 성능을 위협하는 비정상적인 동작이나 보안 문제를 판단하는 기능을 수행한다.
또 다른 예로서, NMSF는 보안 및 성능 모니터링 결과에 기반하여, URLLC 요구사항을 방해하는 비정상적인 동작에 대한 알림(alerting) 기능을 수행한다. 보안 또는 성능을 위협하는 비정상적인 동작이 감지되면, NMSF는 사용자에게 이를 알림으로써 사용자가 상기 비정상적인 동작에 적절히 대응할 수 있도록 한다. NMSF는 또한 보안 컨트롤러에 알림 정보(alerting information)를 전송한다. 알림 정보는 보안 컨트롤러에게 상기 비정상적인 동작에 대해 조치를 취하도록 지시하는 정보로서, 알림 정보를 수신한 보안 컨트롤러는 상기 비정상적인 동작을 복구하는 동작(예를 들어 네트워크의 셧다운)을 수행한다. 알림 정보는 3GPP 시그널링 프로토콜에 의해 제공되는 N3 및/또는 N4 인터페이스를 통해 전송될 수 있다.
다음으로 NMCF는 다음의 기능들 중 적어도 하나의 기능을 수행하도록 구성된다.
일례로서, NMCF는 네트워크상에서 클라이언트 노드에 의해 송수신되는 패킷 또는 내부 정보(internal information)을 수집하는 기능을 수행한다.
다른 예로서, NMCF는 상기 수집된 패킷 또는 내부 정보에 기반하여 클라이언트 노드와 연관된 네트워크 보안 위협을 모니터링하고 판단하는 동작을 수행한다.
또 다른 예로서, NMCF는 네트워크 보안 위협을 모니터링한 결과를 NMSF를 위해 지정된 IP를 이용하여 NMSF로 통지(notify)하는 동작을 수행한다.
또 다른 예로서, NMCF는 비정상적인 단말 동작에 대한 알람(alert)를 IoT 장치의 사용자에게 디스플레이할 수 있다.
또 다른 예로서, 상기 열거된 기능들을 수행함에 있어서, NMCF는 개별 클라이언트 노드 또는 IoT 장치들의 컴퓨팅 자원을 이용하여 동작하며, 개별 클라이언트 노드 또는 IoT 장치의 기본 성능과 기능에 영향을 미치지 않을 정도의 자원의 양을 사용한다.
NMCF는 클라이언트 노드 또는 IoT 장치에서 발생하는 데이터를 통해 비정상적인 동작을 감지할 수 있으므로, NMSF에 비해 클라이언트 노드 또는 IoT 장치의 보안 상태를 보다 정확히 파악할 수 있다. 나아가 5G NPN에 접속한 IoT 단말들의 수가 기하 급수적으로 증가하는 경우 모든 데이터 흐름을 모니터링하는 것은 NMSF에 큰 부담이므로, NMCF와의 협업에 의해 5G NPN의 보안 및 성능을 모니터링하는 것이 효과적이다. 클라이언트 노드 또는 IoT 장치 자체의 문제(예를 들어 파워 셧다운)로 인해 클라이언트 노드 또는 IoT 장치에 융합된 NMCF가 동작을 멈출 수 있기 때문에, NMSF에 의한 보안 및 성능의 모니터링이 필수적이다.
네트워크 모니터링 장치에 의한 패킷 미러링 및 패킷 분석에 따른 네트워크 성능 지표 산출
이하의 실시예는 NMSF에 의한 패킷 미러링 및 패킷 분석에 따른 네트워크 성능 지표를 산출하는 방법에 관한 것이다. 설명의 편의를 위해 NMSF를 네트워크 모니터링 장치라 표현하기로 한다.
도 14는 본 발명의 일 실시예에 따른 네트워크 모니터링 장치가 포함된 시스템을 나타낸 개념도이다. 도 14에 도시된 바와 같이, 본 발명의 일 실시예에 따른 네트워크 보안 및 성능 모니터링 시스템은 사용자 단말(앞선 도면의 UE와 같음)(910-1~910-3), 네트워크(920), 서버단(930~950) 및 네트워크 모니터링 장치(900)를 포함할 수 있다. 본 실시예에서의 네트워크는 5G NPN을 포함할 수 있고, 서버단(930~950)은 MEC를 포함할 수 있다.
도 14를 참조하면, 사용자 단말(910-1~910-3)은 네트워크(920)를 통해 특정 웹 사이트 및/또는 웹 애플리케이션에 접속한다. 여기서, 사용자 단말(910-1~910-3)은 5G 네트워크 상의 휴대용 단말, 로봇, IoT 기기(예컨대, 센서) 등이 될 수 있다. 접속은 상기 웹 사이트 및/또는 웹 애플리케이션과 연관된 서버단(930~950)에서 수행된다.
도 14의 실시예에 따르면, 사용자 단말(910-1~910-3)은 웹 브라우저를 통해 특정 웹 페이지에 접속하여 원하는 페이지 또는 애플리케이션의 실행을 요청한다. 상기 요청은, html 문서와 같은 정적인 콘텐츠뿐만 아니라, 동영상, 오디오와 같은 멀티미디어 콘텐츠, 및/또는 기타 다른 애플리케이션의 실행을 포함할 수 있다.
본 발명의 일 실시예에 따르면, 사용자 단말(910-1~910-3)은 사용자에 의해 동작하고, 통신 기능(인터넷 접속 및 웹 브라우저 실행 기능 포함) 및 데이터 처리 기능을 포함하는 임의의 장치를 포함할 수 있다. 사용자 단말(910-1~910-3)은, 이동국(MS), 사용자 장비(또는 사용자 단말)(UE; User Equipment), 사용자 터미널(UT; User Terminal), 무선 터미널, 액세스 터미널(AT), 터미널, 고정 또는 이동 가입자 유닛(Subscriber Unit), 가입자 스테이션(SS; Subscriber Station), 셀룰러 전화, 무선 기기(wireless device), 무선 통신 디바이스, 무선송수신유닛(WTRU; Wireless Transmit/Receive Unit), 이동 노드, 모바일, 모바일국, 개인 휴대 정보 단말(personal digital assistant; PDA), 스마트폰, 랩톱, 넷북, 개인용 컴퓨터, 무선 센서, 소비자 전자기기(CE), 로봇, IoT 기기 또는 다른 용어들로서 지칭될 수 있다. 사용자 단말(910-1~910-3)의 다양한 실시예들은 셀룰러 전화기, 무선 통신 기능을 가지는 스마트 폰, 무선 통신 기능을 가지는 개인 휴대용 단말기(PDA), 무선 모뎀, 무선 통신 기능을 가지는 휴대용 컴퓨터, 무선 통신 기능을 가지는 디지털 카메라와 같은 촬영장치, 무선 통신 기능을 가지는 게이밍 장치, 무선 통신 기능을 가지는 음악저장 및 재생 가전제품, 무선 인터넷 접속 및 브라우징이 가능한 인터넷 가전제품뿐만 아니라 그러한 기능들의 조합들을 통합하고 있는 휴대형 유닛 또는 단말기들을 포함할 수 있으나, 이에 한정되는 것은 아니다.
각 사용자 단말(910-1~910-3)은 사용자 입력을 수신하기 위한 마우스 및 키보드와 같은 입력 장치들 및 사용자가 네트워킹된 장치들과 상호작용하기 위한 제어 사용자 인터페이스를 제공하기 위한 디스플레이를 포함하는 사용자 통신 인터페이스를 포함할 수 있다. 사용자 인터페이스는 사용자에게 정보를 제공하기 위해 그래픽 사용자 인터페이스(GUI: Graphical User Interface)를 포함할 수 있다.
네트워크(920)는 유선 및/또는 무선 네트워크를 포함한다. 네트워크(920)는 인터넷(internet)을 포함할 수 있고, 5G SA(Stand Alone) 시스템이거나, 5G NSA(Non-Stand Alone) 및/또는 4G 시스템을 포함한다. 네트워크(920)는 다양하게 접속된 사용자 단말(910-1~910-3)과 서버단(930~950) 간에 데이터를 송신하고 수신하기 위해 물리층(매체)을 제공하는 시리얼 버스를 포함할 수 있다. 여기서 시리얼 버스는 1394 시리얼 버스를 포함할 수 있다. 이는 시간-다중송신(Time-multiplexed) 오디오/비디오(A/V) 스트림 및 표준 아이피(IP: Internet Protocol) 통신(예컨대, IETF REC 2734)을 양쪽 모두 지원할 수 있고, 다만 반드시 이에 한정되는 것은 아니다. 네트워크(920)는 비-1394 네트워크(예컨대, 이더넷 등)도 포함할 수 있다. 또한, 네트워크(920)는 홈 네트워크를 포함할 수도 있다. 각 사용자 단말(910-1~910-3)들은 네트워크(920)에서 하나 이상의 서버 장치들(930~950)과 통신할 수 있다.
서버단(930~950)은 사용자에게 서비스들을 제공하기 위해 네트워크(920) 자원을 이용하여 사용자들의 요청에 응답한다. 서버단(930~950)이라고 표현하지만, 반드시 특정 웹 사이트와 관련된 서버일 필요는 없다. 하나의 서버 장치여도 무방하다. 본 명세서 상에서, "서버"라는 용어는 특정 사용자 단말(910-1~910-3)과 통신하는 다른 개체, 상기 사용자 단말(910-1~910-3)이 통신 요청한 대상 개체(entity), 사용자 단말(910-1~910-3)을 제어하는 콘트롤러 장치(로봇 또는 IoT 기기 등을 콘트롤하는 중앙 제어 장치), 및/또는 기지국(eNB, gNB 등) 등을 의미할 수 있다.
서버단(930~950)은 사용자 단말(910-1~910-3)의 요청에 대응하여 정보(데이터)의 리턴(return)을 수행한다. 또한, 기능의 성능(예컨대, 기계적인 기능) 및 상태의 리턴, 데이터 스트림 및 상태의 리턴, 데이터 스트림의 수용 및 상태의 리턴, 또는 각종 행위에 대한 상태의 저장을 포함한다. 서버단(930~950)은 그 자신의 하드웨어의 제어를 구현하기 위해, 주문형, 내장형, 제어 프로그램을 포함할 수 있다.
서버단(930~950)은 특정 웹 사이트 및/또는 웹 애플리케이션과 연관될 수 있고, 각 웹 사이트 및/또는 웹 애플리케이션에서 수행되는 작업과 관련된 연산 및 관리를 수행한다. 서버단(930~950)은 사용자 단말들(910-1~910-3) 및 다른 서버들(930~950)과 상호작용할 수 있다. 예시적인 서비스들은 MPEG 소싱/싱킹(sourcing/sinking), 및 디스플레이 서비스를 포함할 수 있다.
서버단(930~950)은 네트워크(920)를 통해 장치의 명령 및 제어를 위한 인터페이스를 제공하는 인터페이스 데이터(예컨대, HTML, XML, 자바, 자바스크립트, GIF, JPEG, MPEG, 그래픽 파열 또는 의도한 목적에 사용되는 임의의 다른 포맷)와 같은 정보를 처리할 수 있다. 특정 실시예에서, 각 서버들(930~950)은 그 장치의 명령 및 제어를 제공하는 하나 이상의 하이퍼텍스트 마크업 언어(HTML: Hypertext Markup Language)와 같은 정보를 처리할 수 있다. 서버단(930~950)은 브라우저 기법을 이용하여 HTML 페이지를 나타내는 인터넷 표준을 사용할 수 있다.
본 발명의 실시예에 따르면, 서버단(930~950)은 웹 서버(930), 앱 서버(940: APP server), 및 데이터베이스 서버(950: DB 서버)를 포함할 수 있다. 다만, 반드시 서버단이 3개 서버의 조합으로만 구성되어야 하는 것은 아니다. 웹 서버(930)만 존재하고, 앱 서버(940) 및 데이터베이스 서버(950)는 존재하지 않는 것도 유효하고, 또는 앱 서버(940) 하나만 구성되는 것도 가능하고, 기타 다양한 형태 및 계층의 서버 조합도 가능하다.
웹 서버(930)는 웹 클라이언트(Web Client)에게 요청된 컨텐츠를 제공하는 서버이다. 웹 서버(930)는 정적인 HTML이나 JPEG, GIF같은 이미지를 HTTP 프로토콜을 통해 웹 브라우저에 제공할 수 있다. 경우에 따라, 웹 서버(930)도 내부 애플리케이션을 동작시킬 수 있는 컨테이너를 내장할 수 있다.
앱 서버(940)는 WAS(Web Application Server) 서버라고도 불릴 수 있고, 이는 클라이언트/서버 환경에서 트랜잭션 처리 및 관리와 애플리케이션 실행 환경을 제공하는 미들웨어 소프트웨어 서버를 나타낸다. 전형적으로, 서버단(930~950)은 웹 서버, 애플리케이션 서버, 데이터베이스의 3계층 웹 컴퓨팅 환경으로 구축될 수 있는데, 이때, 앱 서버(940)는 클라이언트/서버 환경의 애플리케이션 서버와 같은 역할을 한다. 앱 서버(940)는 애플리케이션 실행 환경과 데이터베이스 접속 기능을 제공하고, 트랜잭션을 관리하며, 업무를 처리하는 비즈니스 로직을 수행하고, 다른 기종 시스템 간의 애플리케이션 연동 등을 수행한다.
본 발명의 실시예에 따르면, 웹 서버(930)와 WAS(940)의 기능적 분류를 통해 효과적인 분산을 유도할 수 있다. 정적인 데이터는 구조적으로 앞에 존재하는 웹 서버(930)에서 처리하고, 동적인 데이터는 뒷단의 WAS(940)가 처리할 수 있다. 예컨대, 사용자의 요청에 대해서 정적 데이터인 HTML과 자바스크립트 파일, CSS, 이미지 등을 앞단의 웹 서버(930)에 위치시켜 처리함으로써 WAS(940)로 서비스 요청이 넘어가지 않게 한다. 또한, 웹 애플리케이션 서비스를 위치적으로 뒤편에 존재하는 WAS(940)에 넘겨줌으로써 WAS(940)는 웹 애플이케이션의 수행에 집중할 수 있다. 웹 서버(930)에서 처리할 것과 WAS(940)에게 넘겨질 것을 처리하는 방식은 웹 서버(930)의 컨피규어레이션(Configuration)을 통해 처리할 수 있다. 특정 확장자나 디렉토리 업무를 WAS(940)로 넘길지 여부는 웹 서버(230)에서 처리한다.
데이터베이스 서버(950)는 웹 서버(930) 및/또는 앱 서버(940)가 취급하는 각종 데이터가 저장되어 있는 저장소이다. 데이터베이스 서버(950)는 웹 서버(930) 및/또는 앱 서버(940)가 처리하는 작업, 웹 사이트, 웹 애플리케이션의 성격에 따라 그와 연관된 엄청난 양의 데이터가 저장될 수 있다. 이는 개인정보, 기관정보, 각종 콘텐츠(예컨대, 멀티미디어 콘텐츠)와 연관된 데이터 등을 포함할 수 있다.
네트워크 모니터링 장치(900)는 네트워크(920)와 웹 서버(930) 사이, 웹 서버(930)와 앱 서버(940) 사이 및 앱 서버(940)와 데이터베이스 서버(950) 사이 중 적어도 하나에 배치될 수 있다. 네트워크 모니터링 장치(900)는 네트워크(920)와 웹 서버(930) 사이, 웹 서버(930)와 앱 서버(940) 사이 및 앱 서버(940)와 데이터베이스 서버(950) 사이 중 적어도 하나에 배치된 스위칭 장치(미도시)와 연결되어 두 개체 간에 송수신되는 패킷을 미러링한 패킷을 기반으로 네트워크 서버스의 성능을 진단한다. 본 발명의 상기 실시예에 따르면, 미러링된 패킷은 실제 송수신되는 패킷(실제 사용되는 사용자 트래픽)을 기반으로 복사에 의해 생성될 수 있으므로, 네트워크 서비스의 성능 진단을 위해 별도의 인위적인 테스트 패킷을 생성할 필요가 없다. 특히, 네트워크 모니터링 장치(900)는 실시간으로 모든 패킷에 대한 모니터링이 가능하다.
네트워크 모니터링 장치(900)는 미러링된 패킷에 포함된 각종 정보들(예컨대, 소스 ID(source id), 목적지 ID(destination id) 및 시간 정보(time), 입력 포트 정보, 출력 포트 정보 등)을 기반으로 네트워크 서비스의 성능을 나타내는 각종 지표들을 실시간으로 산출한다. 지표의 산출은 트랜잭션(transaction) 단위로 이루어질 수 있다. 산출되는 지표는 120가지를 초과할 수 있고, 이는 이하 도 12를 참조하여 보다 상세히 설명한다. 네트워크 모니터링 장치(900)는 산출된 지표들을 기반으로, 어떤 구간에 속도 지연, 대기 지연, 트래픽 초과, 에러 발생과 같은 문제가 있는지 여부를 구간별로 판단하고, 판단결과를 운영자 또는 관리자가 확인할 수 있도록 시각화한다. 즉, 에러 구간을 신속하게 파악하고, 이를 기반으로 에러구간에 대한 대응이 신속하게 이루어질 수 있도록 한다.
더욱이, 네트워크 모니터링 장치(900)는 미러링된 패킷을 분석하여 악의적인 사용자로부터의 접근(보안 이슈 관련)을 추적할 수 있고, 이에 대한 대응도 실시간으로 이루어질 수 있도록 한다.
본 발명의 상기 실시예에 따르면, 네트워크 모니터링 장치(900)는 상기 스위칭 장치에 연결되므로, 서버단(930~950)에 실질적으로 부하를 주는 에이전트(agent) 설치를 요구하지 않을 수 있다. 즉, 서버단(930~950)의 작업속도를 늦추는 등의 부담을 주지 않는다. 다만, 본 발명의 네트워크 모니터링 장치(900)가 반드시 하드웨어적으로 구성되어야 하는 것은 아니고, 소프트웨어적으로, 스위칭 장치나 기타 다른 장치에 설치되어 동작할 수 있다.
도 15는 본 발명의 일 실시예에 따른 네트워크 모니터링 장치와 네트워크의 다른 장치와의 연결 구성을 나타낸 블록도이다.
도 15를 참조하면, 인터넷(1020)과 같은 네트워크에 라우터(1022)가 연결되어 있고, 라우터(1022)는 스위치(1024)와 연결되어 사용자 단말(미도시)의 요청과 관련된 서버들(1030-1~1030-3)로 상기 요청을 전송하고, 제 1 개체 내지 제 3 개체(1030-1~1030-3)로부터 요청에 대한 응답과 관련된 정보를 사용자 단말로 전송한다. 제 1 개체 내지 제 3 개체(1030-1~1030-3)는 서로 다른 서버일 수 있다. 또는, 제 1 개체 내지 제 3 개체(1030-1~1030-3)는 클라이언트 측에서 바라봤을 때, 서로 다른 사용자 단말일 수 있고, 사용자 단말 간의 통신을 위한 패킷도 스위치(1024)를 통과하기 때문에, 네트워크 모니터링 장치(1000)는 이를 미러링하여 패킷 관련 정보를 분석할 수 있다.
라우터(1022) 또는 라우팅 기능을 갖는 공유기(미도시)는 인터넷(1020)을 통해 사용자 단말로부터 전송된 패킷의 위치 및 수신처를 추출하여, 그 위치에 대한 최적의 경로를 지정하며, 이 경로를 따라 데이터 패킷을 스위치(1024)로 전향시킨다. 라우터(1022)는 IP 주소를 식별하여 데이터를 스위치(1024)로 포워딩한다.
제 1 개체 내지 제 3 개체가 서버인 경우, 스위치(1024)는 각 서버들(1030-1~1030-3)의 고유한 MAC 주소를 기억하고 있다가, 이 주소를 통해 어떤 패킷이 어디로 전송되어야 하는지 판단하여 라우터(1022)로부터 제공받은 패킷을 해당 서버(1030-1~1030-3)로 전송한다. 스위치(1024)는 OSI 2 계층, OSI 3계층, OSI 4계층 및/또는 다른 계층(예컨대, OSI 7계층)의 역할을 하는 스위치를 포함한다. 예컨대, 경로를 설정하는 기능을 수행할 수 있다. 또한, 로드밸런싱이나 포트포워딩, QoS 등의 기능을 수행할 수도 있다. 스위치(1024)는 네트워크 스위치, 스위칭 허브, 포트 스위칭 허브 등으로 불릴 수 있다.
네트워크 모니터링 장치(1000)는 스위치(1024)와 연결되어 스위치(1024)를 통해 서버(1030-1~1030-3)로 제공되는 거의 모든 패킷을 미러링하여 획득한다. 패킷 미러링은, 즉, 패킷의 복제 또는 캡처(capture)는 스위치(1024)에서 수행될 수 있다. 경우에 따라 네트워크 모니터링 장치(1000) 자체에서 이루어질 수도 있다. 스위치(1024)는 서버(1030-1~1030-3)로 제공되는 패킷을 복제한 후, 네트워크 모니터링 장치(1000)와 연결된 포트를 목적지 포트(destination port)로 설정하여 네트워크 모니터링 장치(1000)로 제공할 수 있다. 이때, 해당 포트를 분석용도로 지정하여 제공할 수 있다.
도 16은 본 발명의 일 실시예에 따른 네트워크 모니터링 장치의 각 구간별 동작을 설명하기 위한 개념도이다.
도 16을 참조하면, 도 14 및 도 15에서 설명한 바와 같이, 사용자 단말(1110)은 인터넷(1120)을 통해 패킷들을 서버단(1130, 1140, 1150)으로 전송하고, 이때, 인터넷(1120)과 서버(1130) 사이에는 라우터(1122) 및 스위치(1124)가 존재하며, 스위치(1124)에 네트워크 모니터링 장치(1100)가 연결된다.
네트워크 모니터링 장치(1100)는 미러링된 패킷을 분석하여 사용자 단말(1110)에서의 사용자 체감 지연시간을 확인할 수 있다. 또한, 인터넷(1120)을 통해 최초 서버(1130)까지의 트래픽과 연관된 정보를 파악할 수 있고, 서버단(1130, 1140, 1150)에서의 응답대기시간(latency)도 확인할 수 있다. 특히 서버단(1130, 1140, 1150)의 응답대기시간은 각 구간별로 판단된다. 웹 서버(1130)와 WAS(1140) 구간과 WAS(1140)와 DB 서버(1150) 구간의 응답대기시간은 별도로 산출되고 취급된다. 웹 응답대기시간(Web latency)과 앱 응답대기시간(App latency)은 별도 산출될 수 있다. 여기서, 웹 응답대기시간은 정적 URL(이미지(gif, png, jpg 등), css, js, 텍스트 등)이 웹 서버(1130)로부터 데이터를 받을 때까지의 응답지연시간을 나타내고, 앱 응답대기시간은 동적 URL(Dynamic URL)이나 포스트 URL(POST URL)로부터 생성된 페이지의 첫 번째 패킷을 받을 때까지의 응답지연시간을 의미한다. 앱 응답대기시간은 쿼리 파라미터(query parameter)가 포함된 동적인 컨텐츠, HTML, ASP, JSP, PHP 등 동적컨텐츠(page) 및/또는 HTTP POST 메서드(method)를 사용한 호출과 연관될 수 있다. 즉, 이는 WAS 서버(1140) 및/또는 DB 서버(1150)를 경유하여 리턴되는 작업과 연관된 응답대기시간을 나타낸다.
먼저, 사용자 단말(1110)에서 사용자의 체감 속도는 페이지 로딩 시간으로 파악된다. 이는 각 주요 웹 페이지에 대한 사용자별 체감속도로써 분석되고 시각화된다. 즉, 특정 웹 페이지에 접속하는 사용자가 다수인 경우, 다수의 사용자의 사용자 환경별, 및/또는 지역별 체감시간을 파악할 수 있다. 사용자 환경은 지역, 사용자 단말에 설치된 OS, 웹 브라우저의 종류 및 단말의 종류별로 다르게 파악될 수 있다. 또한, 지역별 접속현황 및 분포 모니터링 환경을 제공할 수 있다. 이때, 지역별 접속현황은 세계지역 전체를 대상으로 하는 글로벌 지역현황과 국내지역을 대상으로 하는 로컬 지역현황으로 구분하여 제공될 수 있다.
서버(1130)까지의 사용자 구간(네트워크 구간)에 대한 실제 트래픽 발생 현황은 네트워크 왕복도달시간(RTT: Round Trip Time)으로 표현될 수 있다. 이는 네트워크 소요시간으로도 불릴 수 있다. 여기에, 사용량과 관련하여, 초당 데이터 전송속도를 나타내는 BPS(Bit Per Second) 정보, 초당 연결되는 사용자의 수를 나타내는 UPS(User Per Second) 정보, 초당 연결되는 새로운 세션의 개수를 나타내는 CPS(Connection Per Second) 정보 및 초당 발생하는 트랜잭션의 개수를 나타내는 TPS(Transaction Per Second) 정보의 현황도 파악가능하다. 또한, 사용자 애플리케이션을 모니터링할 수 있고, 사용자에 의한 비정상 행위도 분석 및 추적가능하다. 이러한 성능관련지표들을 통해 네트워크 트래픽을 점유하고 있는 애플리케이션을 인지할 수 있고, 사용자, 애플리케이션 및 네트워크의 상관관계를 모니터링할 수 있다.
추가적으로, 네트워크 모니터링 장치(1100)는 각 서버들(1130, 1140, 1150) 사이의 응답지연시간도 파악가능하다. 즉, 서버 구간별 응답품질지표을 파악할 수 있는데, 여기에는, 서버별 응답 지연시간, 서버별 응답대기 세션수(wait) 및 어플리케이션 URI별 지표 및/또는 DB 서버의 쿼리(DB Query)별 지표를 파악할 수 있다.
도 17은 본 발명의 일 실시예에 따른 네트워크 모니터링 장치를 구체적으로 나타낸 블록도이다. 도 17에 도시된 바와 같이, 본 발명의 일 실시예에 따른 네트워크 모니터링 장치(1200)는 포트(1210), 패킷 분석 모듈(1220), 서비스 모듈(1230) 및 유저 인터페이스(1240)를 포함할 수 있다. 또한, 패킷분석 데이터베이스(1222) 및 서비스 데이터베이스(1232)를 더 포함할 수 있다.
도 17을 참조하면, 포트(1210)는 적어도 하나 이상 구비될 수 있고, 이는 스위칭 장치들(1224-1, 1224-2, ...)과 연결된다. 하나의 포트는 하나의 스위칭 장치와 연결될 수 있다. 연결된 포트들은 스위칭 장치들(1224-1, 1224-2, ...)로부터 미러링된 패킷 정보를 수신하여 패킷 분석 모듈(1220)로 상기 미러링된 패킷을 전송한다.
패킷 분석 모듈(1220)은 미러링된 패킷을 수집하고, 실질적으로 패킷을 분석한다. 이는 분석 엔진(engine)이라 불릴 수 있다. 패킷 분석 모듈(1220)은 미러링된 패킷에서 1차적으로 패킷의 헤더를 분석한다. 이를 통해, HTTP 패킷인지, DB와 연관된 패킷인지, TCP와 연관된 패킷인지 구분한다. 즉, 어떤 프로토콜과 연관된 패킷인지 구분한다. 이를 통해 "GET/웹 주소/HTTP/1.1"과 같은 요청 정보를 어떤 서버로 전송했는지 확인할 수 있다. 패킷 분석 모듈(1220)은 이러한 패킷 헤더 정보를 파싱하여 구문해석한다. "GET"은 요청 메시지가 되고, "웹 주소"는 요청과 연관된 웹 주소를 나타낸다. 그리고, "HTTP/1.1"은 HTTP 1.1 버전인 것을 의미하며, 이외에 패킷과 연관된 언어 정보(예컨대, ko-kr)도 확인하여 저장할 수 있다. 요청 매소드는 GET 외에도, POST, HEAD, PUT, DELETE 등이 상황에 따라 전송될 수 있고, 패킷 분석 모듈(1220)을 이러한 정보를 시간정보, 관련 IP와 함께 저장한다.
패킷 분석 모듈(1220)은 각각의 패킷의 인덱스를 부여하고, 부여된 인덱스를 기반으로, 어떤 패킷인지, 해당 패킷인 HTTP 기반의 요청 패킷인지, 그에 대한 응답 패킷인지를 확인한다. 이때, 과거 수신했던 패킷들로부터 획득한 정보와의 비교분석도 수행된다. 즉, 제 1 개체로부터 획득된 요청 패킷이 존재하는 경우, 이후 제 2 개체로부터 그에 대한 응답 패킷이 존재할 수 있고, 이때, 시계열적인 적어도 둘 이상의 패킷, 제 1 개체와 제 2 개체로부터 송수신되는 패킷을 기반으로 하나의 세션확립, 트랜잭션의 흐름들을 분석할 수 있다.
또한, 패킷 분석 모듈(1220)은 사용자 단말이 어떤 브라우저를 사용했는지, HOST와 연관된 정보, 이전 URL 주소 정보, 브라우저 지원 언어 정보를 파싱할 수 있다. 이때, 헤더가 어떤 종류의 헤더(general header인지, request header인지, entity header인지)인지 분석할 수 있고, 헤더와 페이로드의 경계선을 나타내는 정보를 파싱할 수 있다.
그리고는, 패킷 분석 모듈(1220)은 2차적으로, 미러링된 패킷의 URL(Uniform Resource Locator)(또는 URI(uniform resource identifier)), 소스 IP(Source_ip), 목적지 IP(Dest_ip) 및 시간정보를 분석한다. 여기서, URL 값을 확인해 보면, "https://www.***.co.kr/?gws_rd=ssl"와 같이, 어떤 주소로 리디렉트(redirect)시켜주는 패킷인지 확인할 수 있다. 또한, 소스 IP는 사용자 단말의 IP 주소를, 목적지 IP는 요청의 최종 목적지 사이트와 연관된 서버의 IP를 나타낼 수 있다. 응답 패킷의 경우 반대의 정보를 나타낼 수 있다. 시간정보는 타임스탬프 형식으로 제공될 수 있다. 이외에 전체 패킷의 길이 정보(length)도 확인할 수 있다.
패킷 분석 모듈(1220)은 각각의 프로토콜, 예컨대, HTTP, IP, UDP, TCP, DNS 등 다양한 프로토콜에 대응한 패킷 분석 알고리즘을 포함하고 있고, 각 프로토콜에 맞게 적응적으로 패킷으로부터 URL, 소스 IP, 목적지 IP 및 시간정보를 추출하여 분석에 이용할 수 있다.
이렇게 2차 분석으로 추출된 패킷 관련 정보를 기반으로 1 트랜잭션당 약 120개 요소의 성능지표 정보를 생성할 수 있다. 바람직하게는, 1초에 6000개의 트랜잭션을 분석한다. 그리고는 상기 추출된 패킷 관련 정보 및 트랜잭션당 생성된 120여 개의 성능지표 정보를 데이터베이스(1222)에 저장한다. 이하, 미러링된 패킷의 패킷 관련 정보를 기반으로 생성되는 성능관련 지표를 보다 상세히 설명한다.
패킷 분석 모듈(1220)은 트랜잭션 단위로, 왕복도달시간 정보(RTT 정보)를 산출한다. 즉, 데이터 신호의 왕복시간 정보를 산출한다.
그리고, 패킷 분석 모듈(1220)은 세션 정보를 생성한다. 이는 초당 확립되어 있는 소켓의 수, 즉, 끊지 않고 연결되어 있는 소켓의 수를 나타낼 수 있다. 또한, 패킷 분석 모듈(1220)은 사용자 단말이 요청을 보내고, 특정 서버로부터 응답을 받기 전까지 걸린 응답대기시간(Latency) 정보를 산출한다. 이는 데이터베이스를 쿼리하거나 애플리케이션이 수행되거나 기타 작업을 하면서 걸리는 대기시간이라고 볼 수 있다. 반대로, 서버 측에서 사용자 단말 측을 바라보는 관점에서는, 서버에서 요청을 보내고, 특정 사용자 단말로부터 응답을 받기 전짜기의 시간을 응답대기시간으로 산출할 수 있다.
패킷 분석 모듈(1220)은 초당 전송 또는 수신되는 비트(bit)의 크기를 나타내는 BPS 정보, 초당 전송 또는 수신되는 패킷의 개수 정보를 나타내는 PPS(Packet Per Second) 정보, 초당 연결되는 사용자의 수(IP 기준)를 나타내는 UPS 정보를 산출한다. 이는 1초에 몇 명의 사용자가 연결되고 있는지를 특정 목적지 IP에 연결되는 소스 IP의 수를 기반으로 산출할 수 있다. 이외에, 초당 연결되는 새로운 세션의 수를 나타내는 CPS 정보(1초에 몇 개의 세션이 새롭게 연결되는지를 나타냄), 초당 발생하는 트랜잭션의 개수를 나타내는 TPS 정보(1초에 몇 개의 트랜잭션이 발생하는지를 나타냄)를 산출한다. 그리고, 패킷 분석 모듈(1220)은 초당 요청하는 URL의 수를 나타내는 HPS(Hit Per Second) 정보를 산출한다. 이때, 패킷 분석 모듈(1220)은 서버 HPS의 경우, 해당 서버에서 초당 몇 개의 URL이 요청되는지를 기반으로 HPS를 산출하고, 클라이언트 HPS의 경우, 해당 클라이언트에서 초당 몇 개의 URL이 요청하고 있는지를 기반으로 HPS를 산출한다. 그리고, 패킷 분석 모듈(1220)은 초당 연결되는 서버의 개수 정보인 SPS(Server Per Second) 정보를 산출한다. 이는 클라이언트가 1초에 몇 개의 서버에 연결되어 있는지를 나타낸다.
서비스 모듈(1230)은 데이터베이스(1222)에 저장된 성능 관련 지표를 기반으로 통계를 낸다. 통계는 특정 서버단위로, 특정 사용자 단위로, URL 단위로, 세션 단위로, 특정 지역에 위치한 서버 그룹, 특정 지역에 위치한 클라이언트 그룹 단위로 및/또는 웹페이지 단위로, 이루어질 수 있다. 서비스 모듈(1230)은 미리 설정된 다양한 형태의 시각화 툴을 이용하여 사용자가 직관적으로 현재 네트워크에 따른 서비스의 성능을 파악할 수 있도록 상기 성능 관련 지표를 적절히 시각화한다. 시각화는 통계를 기반으로 수행된다. 즉, 특정 매개와 연관된 지표를 취합하여 의미있는 형태의 그래프 또는 테이블을 생성할 수 있다. 예컨대, 특정 클라이언트 또는 서버와 연관하여 특정 시간대에 생성된 세션들의 리스트를 생성한다거나, 그때 발생된 데이터베이스 쿼리에 대한 테이블을 생성하는 등의 작업을 수행한다. 즉, 네트워크 서비스와 연관된 상기 성능 관련 지표들은 해당 패킷의 시간 정보(타임스탬프 정보)와 함께 저장되므로, 특정 시간대의 패킷 흐름을 클라이언트 단말 및 서버단과의 관계 속에서 이해할 수 있도록 플로우 맵(flow map)을 생성할 수도 있다. 다양한 통계 및 그에 따른 시각화 방법은 이하의 도면들을 통해 보다 상세히 설명한다.
서비스 모듈(1230)은 사용자로부터의 입력에 대응하여 특정 그래프 또는 특정 테이블/리스트를 생성하기 위해서는, 원하는 시간 또는 원하는 환경(예컨대, 특정 웹 브라우저 타입 또는 특정 사용자 단말 종류(모바일인지, PC인지))과 같은 기준(criteria) 변수를 기반으로 검색 및 조회를 할 수 있다. 서비스 모듈(1230)은 선택된 기준변수를 기반으로 원하는 데이터를 분류하여 적절한 형태의 시각화 정보를 생성할 수 있다.
본 발명의 실시예에 따르면, 서비스 모듈(1230)은 네트워크 서비스에 있어서, 문제가 되는 부분을 찾아서 표시하는 알람 기능을 수행할 수 있다. 예컨대, wait의 수가 임계값 이상인 경우, 해당 구간의 응답속도에 문제가 있다고 판단하여, 해당구간에 문제가 있음을 시각적으로 표시할 수 있다. 문제발생에 따른 경고 수단은 반드시 시각적으로 다르게 표현하는 것 이외에도, 관련된 사용자 단말로 문자 메시지를 전송하거나 경고 신호를 전송하는 형태로 구현될 수 있다. 이는 도 19를 통해, 보다 상세히 설명한다.
서비스 모듈(1230)에서 생성된 각종 통계 데이터, 시각화 정보 데이터, 시각화 툴과 관련된 정보 및 사용자에 의해 설정된는 각종 임계값 정보는 서비스 데이터베이스(1232)에 저장되고, 유저 인터페이스(1240)를 통해 사용자가 임의의 가공된 정보를 요청할 때, 그에 대응되는 정보를 반환할 수 있다.
유저 인터페이스(1240)는 운영자로부터 각종 입력을 받고, 서비스 모듈(1230)에서 생성한 그래프 또는 테이블과 같은 시각화된 정보를 출력하는 장치를 포함한다. 이는 마우스, 키보드, 터치 패드와 같은 입력수단과 모니터, 터치 스크린과 같은 출력수단을 포함할 수 있다. 사용자는 서버에 대한 정보(예컨대, 서버 이름, 서버 IP, 연관된 URL, 포트, 소트 넘버(sort number), 서버의 위치 정보, 처리가능한 IP 영역 등)와 연관된 데이터베이스, 각종 서버단의 연결 관계(링크)와 연관된 플로우(flow) 데이터베이스 및 사용자에게 출력하기 위한 시각화 툴 및/또는 시각화와 연관된 메타데이터를 포함하는 UX/UI 데이터베이스 정보를 입력할 수 있다. 또한, 문제발생 판단을 위한 룰셋 및 룰셋과 연관된 각종 설정값을 입력할 수 있다.
기업 또는 정부 업무망과 NMCF, NMSF
이하의 실시예에서 네트워크 모니터링 장치는 NMSF가 기업 또는 정부 업무망에 특화된 네트워크 구성에 적용되는 경우의 NMSF를 지칭하는 것으로서, 용어의 차이만 있을 뿐 전술된 NMSF와 동일한 기능을 수행할 수 있다. 또한 사용자 단말은 NMCF를 포함할 수 있다. 또한 기업 업무망 또는 정부 업무망은 전술된 5G NPN으로 구현될 수도 있다.
도 18은 본 발명의 일 실시예에 따른 통합 통신 장치에 관한 개념도이다.
도 18을 참조하면, 기업 또는 정부 기관 내 업부 단말(사용자 단말(UE: User Equipment)이라 부를 수 있음)이 5G 망에 연결될 때, 5G 통합 통신 장치를 거쳐 기업 내부망에 연결될 수 있다. 상기 사용자 단말은 RU(Radio Unit) 및/또는 DU(Data Unit)라고 불릴 수 있다. 여기서, 5G 통합 통신 장치는 사용자 평면 기능(UPF: User Plane Function) 관련 장비, 제 1 암호화 모듈(암호화 장비 또는 기업용 게이트웨이라고 부를 수 있음) 및 5G 통신 칩 기반의 지능형 보안 장치를 포함한다.
여기서, UPF 기능은 게이트웨이와 같은 통신 장치에 소프트웨어(SW) 형태로 구현될 수 있고, 이는 무선 신호를 디지털화하는 기능을 포함할 수 있다. 본 발명의 실시예에 따르면, 하나의 하드웨어 장비에 UPF 기능뿐만 아니라, 제 1 암호화 모듈 및 적어도 하나의 보안 모듈을 모두 탑재하여 비용효율적으로 장치를 구현할 수 있다.
제 1 암호화 모듈은 5G 및/또는 LTE 단말에 연결되는 2차 단말(사용자 단말)까지 고정 IP로 안전한 연결성을 제공하는 통신 장치(게이트웨이)이다. 이는 인터넷과 차단된 전용망을 이용하는 것일 수 있다. 따라서, 이는 특정 기업 및/또는 기관(예를 들어, 정부 기관)에서 사용하는 장비로, 해당 기업 및/또는 기관과 관련된 사용자 단말로부터 5G 네트워크에 접속할 때, 보안 강화를 위해 사용되는 장비일 수 있다. 또는, 특정 기업 및/또는 기관 내부망에 사용자 단말이 접속하고자 할 때, 사용되는 장비일 수 있다.
제 1 암호화 모듈은 전술한 바와 같이, 5G 네트워크의 보안을 강화하기 위한 장비로, 암호화 장비일 수 있다. 그리고, 사용자 단말(또는 제 1 암호화 단말)로부터 제 1 암호화 모듈까지의 구간은 암호화 처리가 된 구간일 수 있다. 따라서, 별도의 시스템 없이 해당 구간의 데이터 또는 패킷을 모니터링하는 것은 어려울 수 있다.
그리고, 상기 사용자 단말은 상기 제 1 암호화 모듈와 연동하는 제 1 암호화 단말을 이용하여 5G 망에 접속할 수 있다. 제 1 암호화 모듈과 제 1 암호화 단말은 터널링(tunneling)되어 있을 수 있다. 제 1 암호화 단말은 5G 에그(egg)와 같은 휴대용 와이파이 핫스팟(Wifi Hotspot)으로 구현될 수 있다. 다만, 반드시 제 1 암호화 단말이 있어야만 하는 것은 아니고, 제 1 암호화 단말 없이 5G 기지국을 통해 5G 망에 접속할 수도 있다.
한편, 여기서, 5G는 밀리미터 웨이브(milli-meter wave)를 포함한다.
도 19는 본 발명의 일 실시예에 따른 통합 통신 장치를 포함하는 각 노드별 기능을 설명하기 위한 블록도이다.
도 19를 참조하면, 사용자 단말은 제 1 암호화 단말을 통하거나, 아니면 직접 5G 기지국을 통해 5G 코어 망에 접속할 수 있다. 이때, 5G 기지국을 통해 5G 망에 들어오면, 사용자 단말로부터의 데이터(또는 패킷)는 UPF 구간을 통과하여, 제 1 암호화-사용자 평면 기기 및 방화벽 모듈을 거쳐 기업 내부망(보안 업무망 및/또는 일반 업무망을 포함함)으로 전달된다. 전술한 바와 같이, UPF는 소프트웨어로 구현될 수 있고, 디지털 패킷을 생성하여 제 1 암호화 모듈로 제공한다.
큰 범주에서, 사용자 단말로부터 UPF 전의 5G 기지국까지의 구간은 무선(radio) 구간이라 할 수 있고, UPF부터 네트워크 모니터링 장치까지의 구간을 UPF 구간이라 할 수 있다. 위 UPF 구간에서는 데이터에 IP가 부여되어 취급되기에 이를 IP 구간이라고도 부를 수 있다. 네트워크 모니터링 장치 이후의 구간은 MEC(Multi-access Edge Computing) 단이라 할 수 있다.
먼저, 제 1 암호화 모듈은 IP 패킷 단위로 데이터 변조방식 및 은닉 기능을 제공하는 프로토콜인, IP-SEC(Internet Protocol Security) 기반으로 암호화 처리를 수행할 수 있다. 이하, 제 1 암호화 모듈에 대해서는 도 21 및 도 22를 통해 보다 상세히 설명한다.
도 20은 제 1 암호화 기술을 보다 상세히 설명하기 위한 개념도이다.
도 20의 상단 도면을 참조하면, 제 1 암호화 모듈은 2차 단말까지 사내 고정 IP로 안전안 연결성을 제공한다. 이는 인터넷과 차단된 전용망을 이용하는 것을 포함한다. 이를 통해 보안성을 강화할 수 있다.
도 20의 하단 도면을 참조하면, 제 1 암호화 모듈은 이동하는 단말과의 연동하는 경우에도 사용할 수 있다. 또한, 재택 형태로 근무하는 업무 단말과의 연동시에도 사용가능하며, 스마트 팩토리 등과 같은 환경에서 IoT 기기들을 원격제어하는 경우에도 사용될 수 있다. 또한, 기업의 유선망과 5G 전용회선(무선망)이 공존하는 환경에서도 보안 강화를 위해 사용될 수 있다.
도 21은 제 1 암호화 장비의 가상화와 관련된 내용을 설명하기 위한 개념도이다.
도 21을 참조하면, 제 1 암호화 모듈은 5G 데이터 패킷을 처리하는 장치로써, 컨테이너 기반의 가상화를 통해 구현될 수 있다. 이를 위해, SmartNIC(smart Network Interface Card) 형태로 구현될 수 있다. SmartNIC은 코어 프로세서, 메모리 모듈 및 하드웨어 가속 가능한 NPU(Network Processor Unit)가 함께 장착된 장치로, 호스트 서버의 자원을 사용하지 않고 단독으로 대용량 업무 데이터 트래픽을 처리할 수 있다. 제 1 암호화 모듈은 소프트웨어 기반의 UPF 모듈(범용 서버에서 구현)이 합쳐진 형태로 통합 구현될 수 있다. 이를 통해, 초경량 5G 패킷 처리 기술을 UPF에도 적용가능하다.
특히, 비용절감 측면에서, SmartNIC 기술을 통해 5G 패킷 처리 기능을 하나의 통합 장치화할 수 있다. 또한, 장비 확장의 관점에서, 범용 서버에 Smart NIC를 장착함으로써 5G 코어를 스케일 아웃(scale out)할 수 있다.
다시 도 19로 돌아가서, 제 1 암호화 모듈은 제 1 암호화 단말과 터널링되어 있고, 실질적으로 제 1 암호화 단말은 사용자 단말로부터 들어오는 모든 패킷들을 IP SEC 기반으로 암호화 처리한다. 이는 VPN 형태로 동작하기 때문에, 모든 패킷들에 대한 암호화 처리가 가능하다.
제 1 암호화 모듈이 암호화된 패킷을 수신하면, 제 1 암호화 모듈은 수신된 패킷에 대해 제 1 암호화 모듈-제어평면에게 제 1 암호화 모듈에 등록된 사용자인지 질의한다. 제 1 암호화 모듈-제어평면은 기등록된 사용자인지 판단하여, 제 1 암호화 모듈에게 회신한다. 제 1 암호화 모듈-제어평면은 기업 또는 기관 네트워크 운영자에 의해 설정될 수 있고, 여기서 인가된 사용자를 지정할 수 있다. 사용자 인증을 용이하게 수행하기 위해, 기본적으로, 이러한 암호화 패킷 처리 절차는 사용자의 로그인을 필요로 할 수 있다. 따라서, 로그인하지 않은 패킷은 기본적으로 드롭(drop)시킨다. 제 1 암호화 모듈은 제 1 암호화 모듈-제어평면에게 질의한 결과, 수신된 패킷이 등록된 사용자(로그인된 사용자)로부터의 패킷임이 확인되면, 해당 패킷을 디코딩하여 뒷단으로 전달한다. 두꺼운 선으로 표시된 데이터는 디코딩된 패킷을 의미할 수 있다.
한편, 제 1 암호화 단말을 통하지 않고 UPF로 직접 데이터를 전송하는 상단의 업무 단말로부터의 데이터는 제 1 암호화 모듈과 연동하는 제 1 암호화 단말이 없기 때문에, 제 1 암호화 모듈을 거치지 않고, 방화벽 모듈-사용자평면으로 데이터를 직접 제공한다. 이때, 제 2 암호화 모듈 관련 클라이언트 모듈이 설치된 단말은 제 2 암호화 모듈에 데이터를 제공하고, 제 2 암호화 모듈을 거친 데이터는 보안 업무망으로 전달된다. 제 2 암호화 모듈 관련 클라이언트 모듈이 설치되지 않은 단말로부터의 데이터는 제 2 암호화 모듈를 거치지 않고, 일반 업무망으로만 전달될 수 있다.
한편, 제 2 암호화 모듈은 다중 보안 채널 기반의 안전한 보안 연결을 위한 구간 암호화 장치이다. 제 2 암호화 장비의 기본적인 기능에 대해서는, 도 22 및 도 23을 통해 보다 상세히 설명한다.
도 22는 제 2 암호화 기능을 설명하기 위한 개념도이다.
도 22를 참조하면, 제 2 암호화 모듈은 다중 보안 채널 기반의 보안 연결망을 형성하기 위한 장치이다. 이는 복수 개가 설치되어도 무방하다. 즉, 제 2 암호화 모듈 1차를 통해 1차 보안 채널을 형성할 수 있고, 제 2 암호화 모듈 2차를 통해 2차 보안 채널을 형성할 수 있다. 1차 보안 채널은 일반 업무망으로의 접속만을 허용하고, 2차 보안 채널을 거친 데이터는 보안이 강화된 2차 기업보안망으로의 접속을 허용할 수 있다.
특히, 제 2 암호화 모듈은 클라이언트 단말과 제 2 암호화 모듈과의 연동을 위해, 클라이언트 단말 내의 제 2 암호화 모듈 관련 모듈 설치를 요구할 수 있다. 이는 인증용 BYOD(Bring Your Own Device)를 포함할 수 있다.
제 2 암호화 모듈을 이용할 때, 1차적으로 부팅시 위치 인증을 수행하여, 무단 탈취 및 도난에 대한 보안을 강화할 수 있다. 또한, 1차 보안채널 수립시 생체 인증 및 위치 인증을 수행할 수 있다. 이는 폰과 라우터의 위치 인증을 통해 수행된다. 5G 라우터를 이용하여 장비 인증 및 위치 인증이 가능하다. 업무용 PC 접속을 통해 단말인증, 사용자 인증, 위치 인증 및 생체 인증이 가능하다. 추가적으로, 2차 보안 채널 수립시 생체인증을 통해 사용자 인증을 보다 강화할 수 있다. 이는 BYOD의 생체 인증을 활용한 passwordless VPN로 구현될 수 있다.
도 23은 다중 보안 채널 생성 및 다양한 팩터 인증이 가능한 구조로 제 1 암호화 모듈와 연계하여 동작하는 제 2 암호화 모듈을 설명하기 위한 개념도이다.
도 23을 참조하면, 제 2 암호화 모듈은 사용자 단말로부터 제 2 암호화 모듈까지의 구간을 암호화한다. 이를 위해, 사용자 단말에 제 2 암호화 장비와 연동하는 제 2 암호화 모듈 전용 클라이언트 모듈(VPN Client)이 포함되어 있는 것이 바람직하다. 이는 사용자 인증을 위한 모듈일 수 있다. 이러한 제 2 암호화 모듈 전용 클라이언트 모듈로부터의 패킷만 방화벽 모듈에서 제 2 암호화 모듈로 패킷이 포워딩된다. 그리고는, 포워딩된 데이터에 대해 암호화 처리를 해제하여 다시 방화벽으로 전달한다.
도 23을 참조하면, 보안 업무 단말로부터의 데이터만 제 2 암호화 모듈로 전달되고, 일반 업무 단말로부터의 데이터는 제 2 암호화 모듈를 거치지 않고 바로 기업 내부망(일반 업무망)으로 제공된다. 한편, 도 23에서의 설명과 같이, 제 2 암호화 모듈은 복수 개가 겹쳐져 이중 또는 삼중으로 보안 채널을 생성하는 것도 가능하다. 즉, 하나의 기업내 제 2 암호화 모듈-사용자 평면은 다수개 존재 가능하며, 경로 다원화로 보안을 강화할 수 있다.
본 발명의 실시예에 따르면, 제 1 암호화 모듈을 통한 암호화와 제 2 암호화 모듈을 통한 암호화가 함께 이루어져 이중 암호화가 이루어질 수 있다. 즉, 이중 터널을 생성하여, 멀티 보안망을 구축할 수 있다. 두꺼운 선으로 표시된 데이터 흐름은 제 2 암호화 모듈을 통해 처리되는 데이터를 나타낸다. 방화벽 모듈을 거친 데이터는 이중 보안이 적용된 것이기 때문에, 보다 보안에 강인한 데이터일 수 있다. 따라서, 보안이 더 요구되는 보안 업무망에는, 이러한 보안에 강인한 데이터만 제공되고, 이중 보안 처리되지 않은 데이터는 해당 네트워크로 진입할 수 없다. 이러한 데이터는 일반 업무망으로만 갈 수 있다. 한편, 제 2 암호화 모듈은 구간 암호화를 위해 SSL VPN을 사용할 수 있다.
한편, 제 2 암호화 모듈-사용자 평면은 인증과 데이터를 함께 처리할 수 있고, 인증은 제 2 암호화 모듈-제어 평면를 통해 처리되는 것이 바람직하다. 그리고, 통합 보안 매니저는 단말별로 방화벽 모듈로 직접 연동할지, 제 2 암호화 모듈-사용자 평면를 경유하도록 할지에 대한 정책을 내릴 수 있다. 이는 제 1 암호화 모듈-제어평면으로부터 해당 세션의 IP 정보와 매칭하여 처리될 수 있다.
다시 도 19로 돌아가서, 방화벽 모듈은 사용자 트래픽을 5 tuple 단위로 차단하거나 허용할지 결정하고, 경로 변경할 수 있는 노드를 나타낸다. 이는 인라인(in-line) 장비일 수 있다. 방화벽 모듈은 도 24를 통해 보다 상세히 설명한다.
도 24는 방화벽 모듈의 기능을 보다 상세히 설명하기 위한 개념도이다.
도 24를 참조하면, 방화벽 모듈은, 기본적으로 일반 방화벽과 유사한 기능을 수행할 수 있다. 이는, 특정가입자에 대한 5 tuple 기반의 네트워크 차단 기능을 제공한다. 이는 방화벽 모듈-제어평면과 연동한다. 방화벽 모듈은 패킷 포워딩(packet forwarding) 기능을 가지고 있고, 이에 따라 패킷을 제 2 암호화 모듈로 포워딩할 수 있다. 이를 위해, 추가 인증이 필요한 사용자에 대해 모든 트래픽의 경로를 제 2 암호화 모듈로 변경할 수 있다.
보다 상세하게는, 방화벽 모듈은 모든 가입자를 대상으로 식별 대상 서비스의 개시/종료를 PCRF로 통보할 수도 있고, PCRF가 특정 가입자를 지정하여 식별 대상인 서비스의 시작/종료를 알려달라고 방화벽 모듈로 요청할 수도 있다. 이를 통해, 방화벽 모듈은 식별된 서비스에 대한 redirection, limitation, charging report를 수행할 수 있다.
3GPP 방화벽 모듈은 원래는 PGW 내에 있던 DPI 기반 트래픽 처리 및 과금 기능이 외부로 분리된 것이라고도 볼 수 있는데, 본 발명의 일 실시예에 따른 방화벽 모듈은 방화벽 모듈-제어평면과 방화벽 모듈-사용자 평면으로 구현되어, 추가 사용자 인증 및 응용별 네트워크 접근 제어를 추가하여 보안 기능을 강화한 것이라고 볼 수 있다. 즉, 이를 통해, 기업용으로 특화된 기능을 제공할 수 있게 된 것이다.
다시 도 19로 돌아가서, 통합 보안 매니저는 제 1 암호화 모듈, 제 2 암호화 모듈 및 방화벽 모듈을 통합하여 제어하는 기능을 갖는 매니징 장비(manager)이다. 즉, 통합 보안 매니저는 제 1 암호화 모듈, 제 2 암호화 모듈 및 방화벽 모듈을 각각 제어하는 제 1 암호화 모듈-제어평면, 제 2 암호화 모듈-제어평면 및 방화벽 모듈-제어평면을 포함한다. 이는 도 25를 통해 보다 상세히 설명한다.
도 25는 통합 보안 매니저의 기능을 보다 상세히 설명하기 위한 개념도이다.
도 25를 참조하면, 통합 보안 매니저은 제 1 암호화 모듈, 제 2 암호화 모듈 및 방화벽 모듈의 제어 파트를 묶어서 상기 보안 장비들을 통합 제어하고 인증 처리하기 위한 장치이다. 이는, 제 1 암호화 모듈-제어평면 모듈, 제 2 암호화 모듈-제어평면 모듈을 컨테이너 기반 가상화를 통해 구현될 수 있다. 거기에 추가적으로, 5 tuple 기반의 트래픽 제어(제한/경로변경)가 가능한 방화벽 모듈-제어평면 기능 역시 컨테이너 기반 가상화하여 하나의 장비로 통합 구현될 수 있다.
통합 보안 매니저 내의 제 2 암호화 모듈-제어평면 모듈은 보안 업무 단말의 VPN 클라이언트와 연동하여, 사용자 인증을 수행할 수 있고, 이를 기반으로 제 2 암호화 모듈-사용자평면을 제어한다. 특히, SDP(Software Defined Perimeter) 개념 적용을 위한 제 2 암호화 모듈-사용자평면 다중 경로 제어가 가능하다. 이는 선인증 후 접속 게이트웨이를 할당하는 개념을 포함한다. 최근, SSL-VPN을 이용하는 SMB 기업이 많아지고 있다. 회사규모에 따라 VPN 장비의 성능 이슈가 발생하고 관리자의 정책 관리, 보안 취약점 증가 등을 고려하면, 문제가 많은데, SDP는 이러한부분에 대한 대안이 될 수 있다. SDP는 신원을 기반으로 리소스에 대한 액세스를 제어하는 프레임워크이다. 수많은 사용자의 UID를 체크하여 인증을 통과한 단말만서비스를 이용할 수 있는 개념이다. 사물인터넷, 클라우드 솔루션, 모바일 사용자 증가로 종래 On-Premise 환경의 전통적인 방식의 보안 개념보다 개방적인 클라우드체계에 맞는 보안 개념이 필요한데 SDP 프레임워크가 이에 적합할 수 있다.
도 26은 컨테이너 기반 가상화를 설명하기 위한 개념도이다.
도 26을 참조하면, 제 1 암호화 모듈, 제 2 암호화 모듈 및 방화벽 모듈 제어 파트는 컨테이너 기반 가상화가 가능하다. 이는 가상머신(VM: Virtual Machine) 및 Dedi 서버 기반의 가상화를 컨테이너 이미지 형태로 배포 가능하도록 최적화함에 의해 달성될 수 있다. 또한, 컨테이너 이미지 드플로이시 동적 네트워크 구성/관리 기능을 처리할 수 있다. 이를 통해 YAML 파일 정의 및 연계가 가능하다. 또한, MEC 인프라와 호환성을 확보할 수 있다. 더욱이, SR-IOV(single root input/output virtualization)를 이용하여 물리 NIC를 가상화하여, 해당 가상화 NIC를 POD에 직접 할당할 수 있다. 이를 통해 SmartNIC를 달성할 수 있다. SR-IOV는 다수의 가상머신이 하나의 I/O PCI Express 하드웨어 인터페이스를 공유할 수 있도록 하는 표준 기술이다. SR-IOV를 사용하면, 가상머신 입장에서는 마치 PCI 장치가 직접 연결된 것 같은 효과를 가지며, 이에 따라 가상화로 인한 성능 저하를 방지할 수 있다. 가상머신에서는 호스트 장치를 사용하기 위해, 가상화 환경을 지원하는 드라이버를 사용해야 하지만, SR-IOV는 장치를 직접 액세스하는 만큼 기존 드라이버를 사용할 수 있다.
다시 도 19로 돌아가서, 네트워크 모니터링 장치는 제 1 암호화 모듈과 연동하여, 패킷 모니터링을 수행하고, 모니터링 결과를 분석하여, 네트워크 성능 지표를 산출할 수 있다. 또한, 성능 지표의 비정상 상황을 검출하여 보안 모니터링도 함께 수행하는 장치이다. 네트워크 모니터링 장치는 실시간 모니터링, 그에 따른 실시간 분석, 분석 결과 통지, 그리고 실시간 경고 발생 등의 기능을 수행한다.
네트워크 모니터링 장치는 성능 또는 보안 관련 위험을 감지했을 때, 보안 위험 상황 통지로만 끝나는 것이 아니고, 통합 보안 매니저에 명령하여 네트워크를 차단하는 등의 능동적인 액션을 취할 수 있다. 보다 상세하게는, 통합 보안 매니저의 방화벽 모듈-제어평면에 네트워크 차단 명령을 전달하여, 방화벽 모듈-사용자 평면이 네트워크를 차단하도록 야기한다. 네트워크 모니터링 장치의 기능은 도 27 내지 도 28을 통해 보다 상세히 설명한다.
도 27은 네트워크 모니터링 장치의 기능을 설명하기 위한 개념도이다.
도 27을 참조하면, 네트워크 모니터링 장치는 통신 칩 기반의 보안 기술을 이용하여 네트워크 장애 및 네트워크 보안 위협 상황을 사전 탐지하는 장치이다. 네트워크 모니터링 장치는 단말 기반의 트래픽을 모니터링하고 분석함에 의해 해킹 감지, 비인가 단말 차단 및 비정상 트래픽에 대한 알람 및 제어 기능을 수행한다. 네트워크 모니터링 장치는 제 1 암호화 단말(5G 에그)에 탑재된 보안 엔진(마이크로 엔진(ME: Micro Engine))과 연동하여 제 1 암호화 단말로부터의 트래픽을 모니터링한다. 그리고는, 해당 단말로부터의 이상 트래픽을 감지하고 보안 기능을 수행할 수 있다. 또한, 실시간 트래픽 분석 시스템과 연계하여 E2D 장애 및 보안 모니터링을 수행하고 이에 따른 제어 동작을 수행할 수 있다.
도 28은 네트워크 모니터링 장치를 통한 트래픽 분석 과정을 보다 상세히 설명하기 위한 개념도이다.
도 28을 참조하면, 제 1 암호화 구간은 제 1 암호화 단말과 제 1 암호화 모듈과의 연계 암호화 기능에 의해, 암호화되어 있는데, 앞서 설명한 바와 같이, 제 1 암호화 단말에 네트워크 모니터링 장치와 연동하는 보안 엔진을 두어, 보안 엔진이 패킷에 대한 암호화를 거치지 않고 네트워크 모니터링 장치로 패킷을 직접 제공하는 기능을 수행할 수 있다. 이를 통해 암호화가 되어 있는 제 1 암호화 구간에 대한 간접적인 모니터링도 가능할 수 있다. 다시 말해, 보안 엔진이 전달하는 패킷들은 제 1 암호화 모듈-사용자 평면을 거치지 않고 UPF를 거쳐 바로 네트워크 모니터링 장치에 도달할 수 있다. 도면 상에는 제 1 암호화 모듈-사용자 평면을 거치는 것으로 도시되어 있으나, 이는 스위치를 통해 직접 네트워크 모니터링 장치로 제공되는 것으로 이해할 수 있을 것이다. 이는 도 29를 통해 보다 상세히 설명한다.
도 29는 스위치가 단일 장비로 구현되는 통합 통신 장치 내의 각 기능 블록들로 데이터를 전달하는 과정을 설명하기 위한 블록도이다.
도 29를 참조하면, 5G 기지국과 연결된 기업 스위치는 통합 통신 장치(Open Edge Box라고 부를 수 있음) 내의 각 가상화 컨테이너로 패킷을 미러링하여 전달한다. 실제로는 기업스위치는 Generic NIC와 앞서 설명한 Smart NIC 중 적어도 하나로 데이터를 전달하고, Smart NIC로 들어오 패킷은 미러링되어 네트워크 모니터링 장치에서 분석될 수 있다. 이때, 네트워크 모니터링 장치는 제 1 암호화 단말로부터 제 1 암호화 모듈-사용자 평면으로 가는 패킷들도 모두 미러링하여 볼 수 있지만, 이러한 패킷들은 암호화되어 있어 분석이 어렵다. 다만, 제 1 암호화 단말 내의 보안 엔진으로부터의 패킷은 특정한 IP를 달고 있기 때문에, 스위치가 해당 패킷들에 대해서는 제 1 암호화 모듈을 통과시키지 않고 네트워크 모니터링 장치로 미러링된 패킷을 전달한다. 가상화 플랫폼 상에, UPF 컨테이너뿐만 아니라 제 1 암호화 모듈, 통합 보안 매니저, 방화벽 모듈, 네트워크 모니터링 장치, 제 2 암호화 모듈 컨테이너가 가상화되어 있을 수 있다. 그리고, Generic NIC는 UPF 컨테이너와 연결되어 있고, 제 1 암호화 모듈, 통합 보안 매니저, 방화벽 모듈, 네트워크 모니터링 장치, 제 2 암호화 모듈 컨테이너는 Smart NIC와 연결되어 있을 수 있다. 또는, UPF, 제 1 암호화 모듈, 통합 보안 매니저, 방화벽 모듈, 네트워크 모니터링 장치, 제 2 암호화 모듈 컨테이너가 Generic NIC 및 Smart NIC 중 적어도 하나에 연결되어 있을 수 있다. 이때, 양 NIC는 가상 스위치(vSwitch)로 연결되어 있을 수 있다. 이를 통해 하나의 장비로 UPF 단부터 네트워크 모니터링 장치 및 방화벽 모듈 단까지 통합하여 구현될 수 있다. 또한, VM 또는 컨테이너로 구현되는 UPF, 제 1 암호화 모듈, 통합 보안 매니저, 방화벽 모듈, 네트워크 모니터링 장치, 제 2 암호화 모듈 컨테이너들은 오픈 에지 제어기로부터의 제어를 받을 수 있다. 즉, 오픈 에지 제어기의 제어에 따라 접근 제어, 트래픽 모니터링, 보안 위협에 따른 조치 등을 취할 수 있다.
다시 도 25로 돌아가서, 네트워크 모니터링 장치는 제 1 암호화 모듈-사용자 평면과 연계하여 단말의 보안 엔진으로부터의 정보가 직접 네트워크 모니터링 장치로 수집될 수 있도록 할 수 있다. 이는 제 1 암호화 단말 내의 보안 엔진(통신 칩에 내장된 모듈일 수 있음)에 의한 분석으로, TCP 연결 상태를 확인하는데 활용될 수 있다. 보안 엔진이 전달하는 패킷들은 헬스(health) 정보를 포함한다. 이는 장비가 잘 동작하고 있다는 것을 통지하기 위한 정보로 주기적으로 헬스 체크를 한 정보이다. 네트워크 모니터링 장치는 제 1 암호화 단말의 보안 엔진으로부터 주기적으로 제공되는 헬스 정보를 기반으로 RTT(Round Trip Time) 등의 네트워크 성능 지표를 산출할 수 있다. 이를 통해, 제 1 암호화 단말로부터 제 1 암호화 모듈까지의 구간을 확인할 수 있다. 추가적으로, 무선(air) 구간의 성능도 탐지 가능하다.
또한, 데이터 경로(data path) 태핑 기반 트래픽 분석을 통해 점선으로 표시된 방화벽 모듈-사용자 평면 후단의 데이터도 확인이 가능하기 때문에, 다른 구간별로 성능 지표를 산출하는 것도 가능하고, 전체 구간의 성능을 산출하는 것도 가능하다. 이를 통해, 서버망이 느린지 무선(air) 망이 느린지 등을 구간별로 확인할 수 있다.
제 2 암호화 모듈과 연동하는 VPN 클라이언트가 설치되지 않은 일반 업무 단말로부터의 데이터는 제 1 암호화 단말을 통해 UPF 단으로 들어와서, 제 2 암호화 모듈을 거치지 않고, 제 1 암호화-사용자 평면 및 방화벽 모듈-사용자 평면을 거쳐 일반 업무망으로 전달될 수 있다. 이때, 제 1 암호화 단말에 설치된 보안 엔진을 통해 제 1 암호화 구간에 대한 모니터링이 가능하다. 다만, 제 2 암호화 모듈 기반의 암호화를 거치지 않았기 때문에 보다 강화된 보안이 요구되는 보안 업무망으로는 데이터를 전달할 수 없을 수 있다.
본 발명의 다른 실시예에 따르면, 보안 장비들(제 1 암호화 모듈, 제 2 암호화 모듈, 방화벽 모듈) 없이도 네트워크 모니터링 장치는 동작 가능하다. 또는, 그들 중 적어도 하나만 사용될 수도 있다. 제 1 암호화 모듈만 사용될 수도 있고, 제 2 암호화 모듈만 사용될 수도 있으며, 방화벽 모듈만 사용될 수도 있고, 제 1 암호화 모듈과 제 2 암호화 모듈만 사용될 수도 있으며, 제 1 암호화 모듈과 방화벽 모듈만 사용될 수도 있고, 제 2 암호화 모듈과 방화벽 모듈만 사용될 수도 있다.
이때, 상기한 보안 장비들이 없어도, 네트워크 모니터링 장치는 MEC 앞에서 데이터를 모니터링할 수 있다. 다만, MEC는 반드시 존재해야만 하는 것은 아니다. 위의 적어도 하나의 보안 장비를 통과한 데이터는 MEC로 갈 수도 있고, MEC 없이 바로 공용망(public network)로 갈 수 있다. 이때, 네트워크 모니터링 장치는 UPF 뒷단에 위치하여 UPF로 들어오는 패킷들을 모두 미러링함에 따라 모니터링할 수 있다.
본 발명의 또 다른 실시예에 따르면, 제 1 암호화 모듈-사용자 평면이 집중 관리 대상을 네트워크 모니터링 장치에게 전달하는 것도 가능하다. 즉, 특정 단말(들)을 지정하여 해당 단말(들)은 보안 관련하여 집중 관리 대상임을 네트워크 모니터링 장치에 통지할 수 있다. 이렇게 되면, 네트워크 모니터링 장치는 통지된 단말(들)만 별도로 집중 관리할 수 있고, 이에 따라 지정된 단말(들)에 대한 강화된 모니터링을 달성할 수 있다. 이는 실시간으로 제 1 암호화 모듈-사용자 평면으로부터 정보를 받아 이루어질 수 있다.
추가적으로, 비안가 단말 접속 및 사후 차단 서비스와 관련하여, 다음의 실시예를 고려할 수 있다.
먼저, EAP 인증이 힘든 IoT용 사무기기 수용을 위해 EAP 인증을 생략하여 제공할 경우, 특정 제 1 암호화 단말(에그)는 특정 MAC에 한해 무인증(사용자인증 미처리)으로 접속을 허용해야 하는 상황이 발생할 수 있다. 이때, 이 특정 제 1 암호화 단말을 특정 지역 내에서, 해당 특정 MAC 정보를 미리 알아낼 경우, 임의의 노트북에서 이 특정 MAC 주소를 자신의 네트워크 카드에 도용하여 사용할 경우, 무인증으로 자유롭게 사내망 접근하는 문제가 있다.
이를 위해, 사전에 다음의 조치를 취하는 것이 바람직하다. 특정 MAC 허용 제 1 암호화 단말의 경우, "추가 사용자 인증"을 필수조건으로 추가할 수 있다. 예를 들어, 제 1 암호화 단말이 유선 랜 접속을 검출하면, 해당 제 1 암호화 단말의 사용자/관리자 번호로 추가 사용자 인증을 요청하고, IP는 할당받되 방화벽 모듈에서 차단하고 있다가 "사용자 추가 인증"이 처리된 이후 트래픽을 허용하는 형태로 변경할 수 있다. 이 경우, 추가 사용자 인증을 필수로 요하기 때문에 비인가 사용자가 접근하더라도 사내망 접근 환경을 그전 시점에 미리 차단할 수 있다.
사전 조치가 아닌 사후 조치 방안으로 다음을 고려할 수 있다. 특정 MAC 허용 제 1 암호화 단말의 경우, MAC 인증만 되면, 해당 DHCP로 미리 부여받은 IP로 할당하여 허용한다. 서버측에는 분석 서버가 있고 AI로 프린터/IoT 트래픽 패턴이 실시간 학습되며, 다른 시도(비인가자 노트북을 붙여 접근하려는 행위)를 AI로 감지하면, 자동 차단하고 관리자에게 SMS를 보내 허용할지를 질의하는 방식을 고려할 수 있다. 예를 들어, 챗봇을 돌려 SMS로 "37번 제 1 암호화 단말에서 이상 트래픽이 발생하여 차단하였습니다. 허용하시려면 '네'로 답장해 주세요."라고 관리자에게 보내고, 관리자가 "네"라고 입력할 때, 해당 단말의 트래픽을 허용할 수 있다. 이 경우, 자동 차단 기능을 통해 관리자 개입을 최소화하여, 특정 제 1 암호화 단말은 IoT나 사무기기만 허용할 수 있다.
상기와 같은 사후조치 방법의 경우, 제 1 암호화-제어 평면은 제 1 암호화 단말의 ID 기준 "MAC only 인증 및 이상 트래픽 감지시 자동 차단 on"이 설정되면, 제 1 암호화 모듈은 해당 1차/2차 단말의 매핑 IP 정보에 대해, 집중 모니터링할 수 있도록 네트워크 모니터링 장치로 관련 정보를 전달할 수 있다.
그러면, 네트워크 모니터링 장치는 해당 IP(2차 단말 IP)에 대해 트래픽 패턴의 학습을 시작한다.
그리고, 침입/도용이 발생하여 2차 단말의 이상 트래픽을 감지할 경우, 네트워크 모니터링 장치는 이를 인지하여 SMS로 관리자에게 알리고, 자동 차단 처리할 수 있다.
이때, 양방향 소통할 경우, 통신 칩 기반 통신 기능은 단말에 특정 제어 명령을 보낼 수 있고, 네트워크 모니터링 장치는 해당 1차 단말(에그)로 해당 2차 단말(예를 들어, 침입 감지된 PC) IP에 대해 차단을 요청할 수 있다.
경우에 따라, 제 1 암호화 모듈에 간이 방화벽 모듈(2차 단말 기준 방화벽) 기능이 탑재되어 있는경우, 네트워크 모니터링 장치는 제 1 암호화 모듈(방화벽 모듈)로 해당 2차 단말 IP에 대한 차단 요청을 할 수 있다. 이를 위해, 통합 보안 매니저의 제 1 암호화 모듈-제어평면과 네트워크 모니터링 장치 간의 연결이 필요하다. 또는 제 1 암호화 단말도 1/2차 단말 매핑 정보를 알 수 있으니 제 1 암호화 단말 내 보안 엔진과 네트워크 모니터링 장치의 연결을 통해 제 1 암호화 모듈로 차단 요청을 할 수 있다.
도 30a 및 도 30b는 다양한 사용 실시예를 나타낸 개념도이다.
도 30a 및 도 30b를 참조하면, 5G 통합 통신 장치는 기업의 니즈에 맞게 필요한 모듈만 탑재하여 서비스할 수 있다.
먼저, 도 30a를 참조하여, 각각의 모듈들에 대해 설명한다. 특히, 5G 코어 기능을 위해서는, UPF 모듈과 제 1 암호화 모듈이 존재한다. 이때, UPF 모듈은 5G 데이터 세션 처리 및 1차 단말의 IP를 관리하는 역할을 하과, 제 1 암호화 모듈은 2차 단말 IP 관리 및 사용자/단말 인증을 수행한다. 또한, 데이터 채널 암호화를 수행한다. 전술한 바와 같이, 이는 Smart NIC 기반 가상화 제 1 암호화 모듈로 구현될 수 있다.
그리고, 보안 패키지로, 다중 보안 터널 및 E2E 암호화를 위한 제 2 암호화 모듈, AI 기반 트래픽 모니터링 및 분석을 위한 네트워크 모니터링 모듈 및 DPI/5 tuple 기반의 트래픽 제어를 위한 방화벽 모듈이 존재한다.
도 30b를 참조하면, 중견 기업용 라이트한 버전은 가상화 플랫폼 상에 UPF 모듈과 제 1 암호화 모듈만 포함하여 구현할 수 있다. 다음으로, 중견기업용 풀-버전 통합 통신 장치는 가상화 플랫폼 상에 UPF 모듈, 제 1 암호화 모듈 및 보안 모듈 상의 네트워크 모니터링 모듈을 얹은 형태로 구현될 수 있다.
또한, 5G 국가망용 보안 장비는 가상화 플랫폼 상에 UPF 모듈, 제 1 암호화 모듈 및 보안 모듈이 존재하고, 보안 모듈 상에 제 2 암호화 모듈, 방화벽 모듈 및 네트워크 모니터링 모듈이 얹은 형태로 구현될 수 있다.
또한, UPF 기보유 기업의 통합 통신 장비는 가상화 플랫폼 상에 제 1 암호화 모듈 및 보안 모듈이 존재하고, 보안 모듈 상에 제 2 암호화 모듈, 방화벽 모듈 및 네트워크 모니터링 모듈이 얹은 형태에 별도의 UPF 장비가 추가된 형태로 구현될 수 있다.
이상에서 설명된 시스템 또는 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 시스템, 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예들에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (31)

  1. 네트워크 모니터링 장치에서의, 5G 네트워크(network)를 모니터링하는 방법에 있어서,
    사용자 단말로부터 5G 코어 망에 전달되어 적어도 하나의 보안 모듈을 거쳐 공용망으로 전달되는 패킷을 미러링하여 수신하는 단계; 및
    상기 미러링된 패킷을 모니터링하여 네트워크 성능과 관련된 지표를 산출하는 단계를 포함하되,
    상기 적어도 하나의 보안 모듈은 5G 코어 망의 UPF(User Plane Function) 관련 모듈과 상기 공용망 사이에 위치하여 상기 사용자 단말로부터의 데이터에 대한 보안 관련 동작을 수행하고,
    상기 네트워크 모니터링 장치는 5G 코어 망의 UPF 관련 모듈과 상기 공용망 사이에 위치하여 상기 적어도 하나의 보안 모듈을 거쳐 전달되는 패킷을 미러링함에 의해 네트워크 성능과 관련된 지표를 산출하는, 5G 네트워크를 모니터링하는 방법.
  2. 제 1 항에 있어서,
    상기 적어도 하나의 보안 모듈은 제 1 암호화 모듈을 포함하되,
    상기 제 1 암호화 모듈은 상기 5G 코어 망에 위치하여 상기 사용자 단말까지 고정 IP로 안전한 연결성을 제공하는 게이트웨이이고,
    상기 네트워크 모니터링 장치는 상기 제 1 암호화 모듈과 연동하여 패킷 모니터링을 수행하는, 5G 네트워크를 모니터링하는 방법.
  3. 제 2 항에 있어서,
    상기 제 1 암호화 모듈은 상기 사용자 단말로부터 상기 제 1 암호화 모듈까지의 구간의 데이터를 암호화 처리하는, 5G 네트워크를 모니터링하는 방법.
  4. 제 2 항에 있어서,
    상기 제 1 암호화 모듈은 상기 제 1 암호화 모듈과 연동하는 단말측 장비인 제 1 암호화 단말과 협력하여 상기 제 1 암호화 모듈과 상기 제 1 암호화 단말 사이의 구간을 암호화하되,
    상기 제 1 암호화 모듈과 상기 제 1 암호화 단말은 터널링되어 있는, 5G 네트워크를 모니터링하는 방법.
  5. 제 4 항에 있어서,
    상기 제 1 암호화 단말로부터 암호화되지 않은 정보를 직접 획득하는 단계; 및
    상기 획득된 정보를 이용하여 암호화 구간의 네트워크 성능을 모니터링하는 단계를 더 포함하되,
    상기 제 1 암호화 단말은 상기 네트워크 모니터링 장치와 연동하는 보안 엔진을 포함하고,
    상기 네트워크 모니터링 장치는 상기 보안 엔진으로부터 암호화를 거치지 않고 미러링된 패킷을 직접 수신하는, 5G 네트워크를 모니터링하는 방법.
  6. 제 5 항에 있어서,
    상기 보안 엔진으로부터의 패킷은 미리 설정된 IP를 가지고 있으며,
    상기 5G 네트워크와 관련된 스위치가 상기 미리 설정된 IP를 기반으로 상기 제 1 암호화 모듈을 통과시키지 않고 직접 상기 네트워크 모니터링 장치로 미러링된 패킷을 전달함에 의해 상기 미러링된 패킷을 수신하는, 5G 네트워크를 모니터링하는 방법.
  7. 제 5 항에 있어서,
    상기 네트워크 성능과 관련된 지표는 성기 보안 엔진으로부터 주기적으로 획득되는 헬스(health) 정보를 기반으로 산출되는, 5G 네트워크를 모니터링하는 방법.
  8. 제 5 항에 있어서,
    소정의 제 1 암호화 단말과 관련된 MAC 정보를 수신하여, 상기 수신된 MAC에 해당하는 제 1 암호화 단말은 MAC 인증만 완료되면 미리 설정된 IP로 할당하여 상기 5G 네트워크로의 데이터 전송을 허용하는, 5G 네트워크를 모니터링하는 방법.
  9. 제 8 항에 있어서,
    상기 수신된 MAC 정보에 해당하는 제 1 암호화 단말과 관련된 트래픽에 대해 인공지능 기반의 분석을 수행하여, 분석 결과를 기반으로 비인가 접근을 감지하는, 5G 네트워크를 모니터링하는 방법.
  10. 제 2 항에 있어서,
    상기 제 1 암호화 모듈로부터 집중 관리가 요구되는 사용자 단말에 대한 정보를 수신하여 상기 정보를 기반으로 강화된 모니터링을 수행하는, 5G 네트워크를 모니터링하는 방법.
  11. 제 2 항에 있어서,
    상기 적어도 하나의 보안 모듈은, 제 2 암호화 모듈 및 방화벽 모듈을 더 포함하되,
    상기 제 2 암호화 모듈은 다중 보안 채널 기반의 보안 연결을 위해 상기 사용자 단말로부터 상기 제 2 암호화 모듈까지의 구간에 대한 강화된 암호화를 수행하고,
    상기 사용자 단말은 상기 제 2 암호화 모듈과 연동하는 제 2 암호화 클라이언트 모듈을 실행하여 상기 제 2 암호화 클라이언트 모듈로부터의 패킷만 상기 방화벽 모듈에서 상기 제 2 암호화 모듈로 포워딩하되,
    상기 포워딩된 데이터는 암호화 처리를 해제하여 상기 방화벽 모듈로 재전 송되고,
    상기 네트워크 모니터링 장치는 상기 재전송된 패킷을 이용하여 상기 네트워크 성능과 관련된 지표를 산출하는, 5G 네트워크를 모니터링하는 방법.
  12. 제 1 항에 있어서,
    상기 네트워크 성능과 관련된 지표를 기반으로 성능 또는 보안 관련 위험을 감지함에 응답하여, 통합 보안 매니저에 명령함에 의해 네트워크 차단을 수행하는 단계를 더 포함하는, 5G 네트워크를 모니터링하는 방법.
  13. 제 1 항에 있어서,
    상기 네트워크 모니터링 장치는, 상기 5G 네트워크와 연결된 스위치로부터 상기 미러링된 패킷을 수신하는, 5G 네트워크를 모니터링하는 방법.
  14. 5G 네트워크(network)의 모니터링을 위한 네트워크 모니터링 장치에 있어서,
    사용자 단말로부터 5G 코어 망에 전달되어 적어도 하나의 보안 모듈을 거쳐 공용망으로 전달되는 패킷을 미러링하여 수신하는 포트; 및
    상기 미러링된 패킷을 모니터링하여 네트워크 성능과 관련된 지표를 산출하는 패킷 분석 모듈을 포함하되,
    상기 적어도 하나의 보안 모듈은 5G 코어 망의 UPF(User Plane Function) 관련 모듈과 상기 공용망 사이에 위치하여 상기 사용자 단말로부터의 데이터에 대한 보안 관련 동작을 수행하고,
    상기 네트워크 모니터링 장치는 5G 코어 망의 UPF 관련 모듈과 상기 공용망 사이에 위치하여 상기 적어도 하나의 보안 모듈을 거쳐 전달되는 패킷을 미러링함에 의해 네트워크 성능과 관련된 지표를 산출하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 장치.
  15. 제 14 항에 있어서,
    상기 적어도 하나의 보안 모듈은 제 1 암호화 모듈을 포함하되,
    상기 제 1 암호화 모듈은 상기 사용자 단말까지 고정 IP로 안전한 연결성을 제공하는 게이트웨이이고,
    상기 패킷 분석 모듈은 상기 제 1 암호화 모듈과 연동하여 패킷 모니터링을 수행하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 장치.
  16. 제 15 항에 있어서,
    상기 제 1 암호화 모듈은 상기 제 1 암호화 모듈과 연동하는 단말측 장비인 제 1 암호화 단말과 협력하여 상기 제 1 암호화 모듈과 상기 제 1 암호화 단말 사이의 구간을 암호화하되,
    상기 제 1 암호화 모듈과 상기 제 1 암호화 단말은 터널링되어 있는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 장치.
  17. 제 16 항에 있어서,
    상기 포트는 상기 제 1 암호화 단말로부터 암호화되지 않은 정보를 직접 획득하고,
    상기 패킷 분석 모듈은 획득된 정보를 이용하여 암호화 구간의 네트워크 성능을 모니터링하되,
    상기 제 1 암호화 단말은 상기 네트워크 모니터링 장치와 연동하는 보안 엔진을 포함하고,
    상기 포트는 상기 보안 엔진으로부터 암호화를 거치지 않고 미러링된 패킷을 직접 수신하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 장치.
  18. 5G 네트워크(network)의 모니터링을 위한 네트워크 모니터링 시스템에 있어서,
    5G 코어 망의 사용자 평면 기능(UPF: User Plane Function)과 관련된 UPF 모듈;
    5G 코어 망에 위치하여 사용자 단말까지 고정 IP로 안전한 연결성을 제공하는 게이트웨이인, 제 1 암호화 모듈; 및
    상기 사용자 단말로부터 5G 코어 망에 전달되어 적어도 하나의 보안 모듈을 거쳐 공용망으로 전달되는 패킷을 미러링하여 수신하고, 상기 미러링된 패킷을 모니터링하여 네트워크 성능과 관련된 지표를 산출하는 네트워크 모니터링 장치를 포함하되,
    상기 네트워크 모니터링 장치는 상기 UPF 모듈과 공용망 사이에 위치하여 상기 적어도 하나의 보안 모듈을 거쳐 전달되는 패킷을 미러링함에 의해 상기 네트워크 성능과 관련된 지표를 산출하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
  19. 제 18 항에 있어서,
    상기 제 1 암호화 모듈은 SmartNIC(smart Network Interface Card) 형태로 구현되는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
  20. 제 18 항에 있어서,
    상기 제 1 암호화 모듈은 암호화된 패킷을 수신함에 응답하여, 상기 암호화된 패킷과 관련된 사용자가 기등록된 사용자인지 판단하여 디코딩 여부를 결정하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
  21. 제 18 항에 있어서,
    상기 5G 망의 상기 UPF 모듈과 상기 공용망 사이에 위치하여 상기 사용자 단말로부터의 데이터에 대한 보안 관련 동작을 수행하는, 상기 적어도 하나의 보안 모듈을 더 포함하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
  22. 제 21 항에 있어서,
    상기 적어도 하나의 보안 모듈은, 제 2 암호화 모듈을 더 포함하되,
    상기 제 2 암호화 모듈은 다중 보안 채널 기반의 보안 연결을 위해 상기 사용자 단말로부터 상기 제 2 암호화 모듈까지의 구간에 대한 강화된 암호화를 수행하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
  23. 제 21 항에 있어서,
    상기 적어도 하나의 보안 모듈은 방화벽 모듈을 포함하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
  24. 제 23 항에 있어서,
    상기 방화벽 모듈은 사용자 트래픽을 5 tuple 단위로 5G 네트워크를 차단하거 허용할지 결정하고, 경로 변경을 수행하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
  25. 제 23 항에 있어서,
    상기 사용자 단말은 제 2 암호화 모듈과 연동하는 제 2 암호화 클라이언트 모듈을 실행하여 상기 제 2 암호화 클라이언트 모듈로부터의 패킷만 상기 방화벽 모듈에서 상기 제 2 암호화 모듈로 포워딩하되,
    상기 포워딩된 데이터는 암호화 처리를 해제하여 다시 상기 방화벽 모듈로 전달하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
  26. 제 24 항에 있어서,
    상기 제 1 암호화 모듈을 통한 제 1 암호화와 상기 제 2 암호화 모듈을 통한 제 2 암호화가 함께 이루어져 이중 암호화를 형성하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
  27. 제 21 항에 있어서,
    상기 적어도 하나의 보안 모듈은 (i) 상기 제 1 암호화 모듈, (ii) 제 2 암호화 모듈 및 (iii) 방화벽 모듈을 각각 제어하는 통합 보안 매니저를 포함하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
  28. 제 27 항에 있어서,
    상기 상기 제 1 암호화 모듈, 상기 상기 제 2 암호화 모듈 및 상기 방화벽 모듈을 각각 제어하는 모듈은 컨테이너 기반 가상화로 구현되는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
  29. 제 27 항에 있어서,
    상기 네트워크 모니터링 장치는, 상기 네트워크 성능과 관련된 지표를 기반으로 성능 또는 보안 관련 위험을 감지함에 응답하여, 상기 통합 보안 매니저에 명령하여 네트워크 차단을 수행하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
  30. 제 18 항에 있어서,
    패킷을 미러링하여 상기 네트워크 모니터링 장치로 전달하는, 상기 5G 네트워크와 연결된 스위치를 더 포함하되,
    상기 스위치는 Generic NIC 및 Smart NIC 중 적어도 하나에 의해 상기 패킷을 상기 네트워크 모니터링 장치로 전달하는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
  31. 제 18 항에 있어서,
    상기 UPF 모듈, 상기 제 1 암호화 모듈 및 상기 네트워크 모니터링 장치는, 하나의 하드웨어 장치에 모두 탑재되어 구축되는, 5G 네트워크의 모니터링을 위한 네트워크 모니터링 시스템.
KR1020220029973A 2021-03-17 2022-03-10 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법 KR20220130021A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2022/003622 WO2022197071A1 (ko) 2021-03-17 2022-03-15 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020210034741 2021-03-17
KR20210034741 2021-03-17

Publications (1)

Publication Number Publication Date
KR20220130021A true KR20220130021A (ko) 2022-09-26

Family

ID=83452335

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220029973A KR20220130021A (ko) 2021-03-17 2022-03-10 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20220130021A (ko)

Also Published As

Publication number Publication date
KR20220130022A (ko) 2022-09-26

Similar Documents

Publication Publication Date Title
KR102163280B1 (ko) 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템
KR102163279B1 (ko) 5g 기반의 네트워크 성능 진단 방법, 장치 및 시스템
Silva et al. Computing paradigms in emerging vehicular environments: A review
Fitzek et al. Computing in communication networks: From theory to practice
Kazmi et al. Survey on joint paradigm of 5G and SDN emerging mobile technologies: Architecture, security, challenges and research directions
Sharma et al. Shsec: sdn based secure smart home network architecture for internet of things
Rahouti et al. Secure software-defined networking communication systems for smart cities: Current status, challenges, and trends
Shafiq et al. Services and security threats in sdn based vanets: A survey
Salahdine et al. Security in 5G and beyond recent advances and future challenges
JP2018519688A (ja) クラウド内の複数境界ファイアウォール
US9253160B2 (en) Methods, systems, and media for secure connection management and automatic compression over metered data connections
JP7304041B2 (ja) 5g基盤のネットワーク性能診断方法、装置及びシステム
Kalinin et al. Software defined security for vehicular ad hoc networks
Alam et al. IoT virtualization: A survey of software definition & function virtualization techniques for internet of things
Todorova et al. DDoS attack detection in SDN-based VANET architectures
Wang et al. Location hijacking attack in software-defined space–air–ground-integrated vehicular network
Amponis et al. Threatening the 5G core via PFCP DoS attacks: the case of blocking UAV communications
Ravi et al. TeFENS: Testbed for experimenting next-generation-network security
KR102174190B1 (ko) 5g 기반의 네트워크 성능 시각화 방법, 장치 및 시스템
Gilani et al. SDN-based multi-level framework for smart home services
KR20220170770A (ko) 단말의 보안 패킷에 기반한 네트워크 보안 모니터링 장치 및 방법
KR102687520B1 (ko) 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법
US20230180005A1 (en) Apparatus, system, and method for monitoring network security and performance
KR20220130021A (ko) 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법
Askar SDN based 5G VANET: a review