[go: up one dir, main page]

KR102780207B1 - 오버레이 네트워크를 통한 통신 방법 및 그 시스템 - Google Patents

오버레이 네트워크를 통한 통신 방법 및 그 시스템 Download PDF

Info

Publication number
KR102780207B1
KR102780207B1 KR1020210075324A KR20210075324A KR102780207B1 KR 102780207 B1 KR102780207 B1 KR 102780207B1 KR 1020210075324 A KR1020210075324 A KR 1020210075324A KR 20210075324 A KR20210075324 A KR 20210075324A KR 102780207 B1 KR102780207 B1 KR 102780207B1
Authority
KR
South Korea
Prior art keywords
terminal
authentication
authentication information
intermediary node
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020210075324A
Other languages
English (en)
Other versions
KR20220166500A (ko
Inventor
이준원
유근영
강봉구
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020210075324A priority Critical patent/KR102780207B1/ko
Priority to US17/837,424 priority patent/US20220400525A1/en
Publication of KR20220166500A publication Critical patent/KR20220166500A/ko
Application granted granted Critical
Publication of KR102780207B1 publication Critical patent/KR102780207B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4675Dynamic sharing of VLAN information amongst network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/562Brokering proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/16Interfaces between hierarchically similar devices
    • H04W92/24Interfaces between hierarchically similar devices between backbone network devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

오버레이 네트워크를 통한 통신 방법 및 그 시스템이 제공된다. 본 발명의 일 실시예에 따른 제1 단말과 제2 단말 사이의 통신 방법은, 상기 제1 단말이 제1 인증 서버로부터 제1 인증 정보를 획득하는 단계와, 상기 제1 인증 정보에 기초하여 상기 제1 단말이 상기 제1 중개 노드와의 사이에 연결을 수립하는 단계와, 상기 제1 단말이 상기 제1 중개 노드를 통하여 제2 인증 서버로부터 제2 인증 정보를 획득하는 단계와, 상기 제2 인증 정보를 이용하고, 상기 제1 중개 노드를 경유하여, 상기 제1 단말이 제2 단말과 통신하는 단계를 포함할 수 있다.

Description

오버레이 네트워크를 통한 통신 방법 및 그 시스템{METHOD AND SYSTEM FOR COMMUNICATING OVER OVERLAY NETWORKS}
본 발명은 오버레이 네트워크를 통한 통신 방법 및 그 방법이 수행되는 네트워크 시스템에 관한 것이다. 보다 구체적으로, 본 발명은 최소한의 컴퓨팅 자원을 요구하면서도 보안 위협을 차단할 수 있는 안전하고 경량화된 네트워크 통신 방법 및 그 네트워크 시스템에 관한 것이다.
IoT 서비스를 위한 인터넷 네트워크는 퍼블릭 인터넷 및/또는 신뢰할 수 있는 인터넷(Trusted Internet)을 통해 구축될 수 있다.
신뢰할 수 있는 인터넷(Trusted Internet)은 제3자의 액세스가 제한되어 있으므로, 공격자의 공격 위협에 상대적으로 안전할 수 있다. 그런데 IoT 서비스를 제공하기 위한 클라이언트 단말들과 서버 장치는 물리적으로 원거리에 위치할 수 있으며, 특히 클라이언트 단말의 수가 매우 많은 것이 일반적이므로, 개별 클라이언트 단말들과 서버 사이에 신뢰할 수 있는 인터넷 네트워크를 구축하기 위해서는 많은 비용이 투입될 필요가 있다.
한편 퍼블릭 인터넷 망은 누구나 액세스 할 수 있는 네트워크이다. 도 1은, IoT 서비스의 제공을 위한 IoT 장치들(클라이언트 단말들)과 IoT 서버들이 퍼블릭 인터넷 네트워크를 통해서 연결된 예시적인 모습을 나타내는 도면이다. 신뢰할 수 있는 인터넷과 비교할 때, 퍼블릭 인터넷은 서버 관리자의 부주의와 공격자의 공격 위협 등에 의해 더 큰 위험에 노출되어 있는 경우가 많다. 또한 클라이언트 단말과 서버가 물리적으로 멀리 떨어져 있는 경우, 클라이언트 단말과 서버 사이의 퍼블릭 인터넷의 일부 구간이 공격자의 경로 변조 및 스니핑 공격으로 인해 위협받을 수 있다. 비단 서버 측 뿐만 아니라, 주로 클라이언트 단말이 위치하는 가정 내 IoT 네트워크 환경에서, 최종 사용자가 설치 및 관리하는 게이트웨이가 안전하게 관리되지 않는 경우, 공격자의 무단 액세스로 인해 DNS 조작, 트래픽 우회, DoS 등의 공격이 발생할 수 있다. 나아가 서버가 클라이언트 장치를 강력하게 인증하지 않으면, 악의적으로 변조되거나 허가되지 않은 장치가 IoT 서비스에 연결할 수 있게 된다.
IoT 서비스에서 빈번하게 사용되는 통신 프로토콜들 중 일부인 MQTT(Message Queuing Telemetry Transport) 및 CoAP(Constrained Application Protocol)는 제한된 리소스를 가지는 IoT 장치들 사이에 메시지를 전달하기 위해 이용될 수 있는 경량 애플리케이션 프로토콜들인데, MQTT 및 CoAP는 자체적으로 암호화를 제공하지 않는다. 이 때문에 MQTT 및 CoAP는 암호화된 데이터 전송을 위해 SSL/TLS 등의 프로토콜을 추가로 이용해야 하는데, SSL/TLS에 따른 통신을 위해서는 장치와 장치 사이에 생성되는 각각의 세션마다 매번 키 교환 과정이 수반되어야 한다. 이는, 다수의 장치들 사이에 상호간 데이터를 교환하는 IoT 장치들에게 지나치게 많은 횟수의 키 교환 과정을 요구할 수 있어서, IoT 장치의 목적 달성을 위해 구비된 컴퓨팅 파워가 키 교환을 위한 처리에 낭비될 수 있으며, 이는 IoT 장치의 경량화에 걸림돌이 될 수 있다.
따라서 IoT 서비스 등 다수의 소형 경량 장치들이 참여하는 서비스 네트워크에 있어서, 고도의 보안성을 제공하면서도 낮은 컴퓨팅 파워를 가지는 장치들이 원활하게 동작할 수 있으며, 네트워크의 구축 비용이 과도하지 않은 네트워크 시스템이 요구된다.
한국 등록특허공보 제10-1936655호
본 발명의 일 실시예를 통하여 달성하고자 하는 기술적 과제는, 낮은 컴퓨팅 자원을 요구하면서도 보안 위협을 차단할 수 있는 안전하고 경량화된 네트워크 통신 방법 및 그 네트워크 시스템을 제공하는 것이다.
본 발명의 다른 일 실시예를 통하여 달성하고자 하는 기술적 과제는, 다수의 단말들이 개수 제한 없이 연결될 수 있는 분리된 서비스 네트워크 시스템을 제공하는 것이다.
본 발명의 다른 일 실시예를 통하여 달성하고자 하는 기술적 과제는, 원거리에 위치한 단말들/서버들 사이를 연결하는 인터넷 망에 존재할 수 있는 보안 위협을 최소화할 수 있는 서비스 네트워크 시스템을 제공하는 것이다.
본 발명의 또 다른 일 실시예를 통하여 달성하고자 하는 기술적 과제는, 보안에 취약한 가정용 게이트웨이가 아닌 안전한 네트워크 노드에 의해 단말의 인증을 처리할 수 있는 서비스 네트워크 시스템을 제공하는 것이다.
본 발명의 또 다른 일 실시예를 통하여 달성하고자 하는 기술적 과제는, 낮은 대역폭의 네트워크에 연결된 경량 단말 장치에서도 원활하게 수행할 수 있는 방식으로 종단 간 암호화를 제공하는 효율적인 서비스 네트워크 시스템을 제공하는 것이다.
본 발명의 또 다른 일 실시예를 통하여 달성하고자 하는 기술적 과제는, 낮은 대역폭의 네트워크에 연결된 경량 단말 장치에서도 원활하게 수행할 수 있는 방식으로 종단 간 암호화를 제공하는 효율적인 서비스 네트워크 시스템을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명의 기술분야에서의 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 제1 단말과 제2 단말 사이의 통신 방법은, 상기 제1 단말이 제1 인증 서버로부터 제1 인증 정보를 획득하는 단계와, 상기 제1 인증 정보에 기초하여 상기 제1 단말이 상기 제1 중개 노드와의 사이에 연결을 수립하는 단계와, 상기 제1 단말이 상기 제1 중개 노드를 통하여 제2 인증 서버로부터 제2 인증 정보를 획득하는 단계와, 상기 제2 인증 정보를 이용하고, 상기 제1 중개 노드를 경유하여, 상기 제1 단말이 제2 단말과 통신하는 단계를 포함할 수 있다.
일 실시예에서, 상기 제1 인증 정보는, 복수의 중개 노드들 중 상기 제1 단말에 가장 가까운 중개 노드의 주소를 포함할 수 있다.
일 실시예에서, 상기 제1 인증 정보는 상기 제1 중개 노드와의 L2TP 터널링을 위한 L2TP 터널 ID 및 L2TP 세션 ID를 포함하고, 상기 제1 단말이 상기 제1 중개 노드와의 사이에 연결을 수립하는 단계는, 상기 제1 단말이 상기 제1 중개 노드와의 사이에 L2TP 터널을 형성하는 단계와, 상기 L2TP 터널을 통하여, 상기 제1 단말과 상기 제1 중개 노드 사이의 L2TP 세션을 형성하는 단계를 포함할 수 있다.
일 실시예에서, 상기 제2 인증 정보를 획득하는 단계는, 상기 제1 중개 노드가 EAPoL 프로토콜을 이용하여 상기 제1 단말의 인증 요청 정보를 획득하는 단계와, 상기 제1 중개 노드가 RADIUS 프로토콜을 이용하여 상기 제2 인증 서버로부터 상기 제1 단말을 위한 상기 제2 인증 정보를 획득하는 단계를 포함할 수 있다.
일 실시예에서, 상기 제2 인증 정보는 네트워크 식별 정보를 포함하며, 상기 제1 단말이 상기 제2 단말과 통신하는 단계는, 상기 네트워크 식별 정보에 기초하여, 상기 제1 단말이, 제2 단말이 속한 오버레이 네트워크에 참여하는 단계를 포함할 수 있다.
일 실시예에서, 상기 제1 단말이, 제2 단말이 속한 오버레이 네트워크에 참여하는 단계는, 상기 제1 중개 노드가, 상기 제1 단말과 상기 제1 중개 노드 사이에 형성된 L2TP 터널을 상기 네트워크 식별 정보에 대응되는 VXLAN 터널과 연결하는 단계를 포함할 수 있다.
일 실시예에서, 상기 제2 인증 정보는 공유키를 포함하며, 상기 제1 단말이 상기 제2 단말과 통신하는 단계는, 상기 공유키를 이용하여 상기 제1 단말이 상기 제2 단말과 통신하는 단계를 포함할 수 있다.
일 실시예에서, 상기 공유키를 이용하여 상기 제1 단말이 상기 제2 단말과 통신하는 단계는, 상기 제1 단말이, 상기 공유키에 기초하여 키 암호화 키를 도출하는 단계와, 상기 제1 단말이, 암호화된 상기 제2 단말의 세션 키를 수신하는 단계와, 상기 제1 단말이, 상기 키 암호화 키를 이용하여, 상기 제2 단말의 세션 키를 복호화하는 단계와, 상기 제1 단말이, 상기 복호화된 상기 제2 단말의 세션 키를 이용하여, 상기 제2 단말로부터 수신한 데이터를 판독하는 단계를 포함할 수 있다.
일 실시예에서, 상기 제1 단말이 상기 제2 단말과 통신하는 단계는, 상기 제1 단말과 상기 제2 단말이 MACsec 프로토콜에 의해 보호된 통신을 수행하는 단계를 포함할 수 있다.
본 발명의 다른 일 실시예에 따른 네트워크 상에서 단말간 통신을 중개하는 방법은, 제1 중개 노드가, 복수의 중개 노드들과 복수의 오버레이 네트워크들을 형성하는 단계와, 상기 제1 중개 노드가, 상기 제1 단말과의 사이에 연결을 수립하는 단계와, 상기 제1 중개 노드가, 상기 제1 단말의 인증 요청 정보를 상기 제1 단말로부터 획득하는 단계와, 상기 제1 중개 노드가, 상기 인증 요청 정보에 기초하여, 인증 서버로부터 상기 제1 단말을 위한 인증 정보를 획득하는 단계와, 상기 제1 중개 노드가, 상기 복수의 오버레이 네트워크들 중에 상기 인증 정보에 대응되는 오버레이 네트워크에 상기 제1 단말을 연결하는 단계를 포함할 수 있다.
일 실시예에서, 상기 복수의 중개 노드들과 복수의 오버레이 네트워크들을 형성하는 단계는, 상기 제1 중개 노드가, 상기 복수의 중개 노드들과의 사이에 복수의 VXLAN 터널을 형성하는 단계를 포함할 수 있다.
일 실시예에서, 상기 제1 단말과의 사이에 연결을 수립하는 단계는, 상기 제1 중개 노드가 상기 제1 단말과의 사이에 L2TP 터널을 형성하는 단계를 포함할 수 있다.
일 실시예에서, 상기 제1 단말의 인증 요청 정보를 상기 제1 단말로부터 획득하는 단계는, 상기 제1 중개 노드가 EAPoL 프로토콜을 이용하여 상기 인증 요청 정보를 획득하는 단계를 포함할 수 있다.
일 실시예에서, 상기 인증 서버로부터 상기 제1 단말을 위한 상기 인증 정보를 획득하는 단계는, 상기 제1 중개 노드가, RADIUS 프로토콜을 이용하여 상기 인증 서버로부터 상기 인증 정보를 획득하는 단계를 포함할 수 있다.
일 실시예에서, 상기 인증 정보에 대응되는 오버레이 네트워크에 상기 제1 단말을 연결하는 단계는, 상기 제1 단말과의 사이에 형성된 L2TP 터널을 상기 인증 정보에 대응되는 VXLAN 터널과 연결하는 단계를 포함할 수 있다.
일 실시예에서, 상기 제1 중개 노드는 L2TP 네트워크 서버(LNS)이자 VXLAN 터널 엔드포인트(VTEP)일 수 있다.
본 발명의 다른 일 실시예에 따른 네트워크 시스템은, 복수의 단말들, 복수의 중개 노드들, 및 인증 서버를 포함하되, 상기 복수의 단말들 중 제1 단말은, 상기 인증 서버로부터 획득한 제1 인증 정보를 기초로 상기 복수의 중개 노드들 중 상기 제1 단말에 가장 가까운 제1 중개 노드와의 사이에 연결을 수립하고, 상기 제1 중개 노드를 통하여 제2 인증 정보를 획득하며, 상기 제2 인증 정보를 이용하고 상기 제1 중개 노드를 경유하여 상기 복수의 단말들 중 제2 단말과 MACsec 프로토콜에 의해 보호된 통신을 수행하고, 상기 복수의 중개 노드들은 복수의 오버레이 네트워크들을 형성하고, 상기 복수의 중개 노드들 중 상기 제1 중개 노드는, 상기 제1 단말로부터 획득한 인증 요청 정보에 기초하여, 상기 제1 단말을 위한 제2 인증 정보를 획득하여 상기 제1 단말에게 제공하고, 상기 복수의 오버레이 네트워크들 중에 상기 제2 인증 정보에 대응되는 오버레이 네트워크에 상기 제1 단말을 연결할 수 있다.
일 실시예에서, 상기 인증 서버는, 상기 제1 인증 정보를 제공하는 L2TP 인증 서버와 상기 제2 인증 정보를 제공하는 802.1X 인증 서버를 포함할 수 있다.
일 실시예에서, 상기 제1 단말과 상기 제1 중개 노드 사이는 L2TP 터널을 통해 연결되고, 상기 복수의 중개 노드들은 복수의 VXLAN 터널을 통해 연결되어 상기 복수의 오버레이 네트워크들을 형성하며, 상기 제1 중개 노드는 상기 L2TP 터널을, 상기 복수의 VXLAN 터널들 중 상기 제2 인증 정보에 대응되는 VXLAN 터널에 연결할 수 있다.
본 발명의 다른 일 실시예에 따른 컴퓨터 판독 가능한 비일시적 저장 매체는 명령어를 포함하며, 상기 명령어는 프로세서에 의해 실행될 때, 상기 프로세서로 하여금, 제1 단말이 제1 인증 서버로부터 제1 인증 정보를 획득하는 단계와, 상기 제1 인증 정보에 기초하여 상기 제1 단말이 상기 제1 중개 노드와의 사이에 연결을 수립하는 단계와, 상기 제1 단말이 상기 제1 중개 노드를 통하여 제2 인증 서버로부터 제2 인증 정보를 획득하는 단계와, 상기 제2 인증 정보를 이용하고, 상기 제1 중개 노드를 경유하여, 상기 제1 단말이 제2 단말과 통신하는 단계를 포함하는 방법을 수행하도록 할 수 있다.
도 1은, IoT 장치들과 IoT 서버들이 퍼블릭 인터넷 네트워크를 통해서 연결된 예시적인 모습을 나타내는 도면이다.
도 2는, 본 발명의 일 실시예에 따른 예시적인 네트워크 시스템을 나타낸 도면이다.
도 3은, 도 2를 참조하여 설명된 네트워크 시스템을 보다 자세히 설명하기 위한 도면이다.
도 4는, 본 발명의 몇몇 실시예에 따른 네트워크 시스템에서, 단말들 사이의 통신이 보호되는 방식을 설명하기 위한 도면이다.
도 5는, 본 발명의 다른 일 실시예에 따른 예시적인 네트워크 시스템에서, 장치들 사이에 연결이 수립되는 예시적인 과정을 설명하기 위한 도면이다.
도 6은, 본 발명의 몇몇 실시예에 따른 네트워크 시스템에서 제1 단말이 제2 단말과 통신하는 예시적인 방법의 순서도이다.
도 7은, 도 6을 참조하여 설명된 방법의 일부 단계를 보다 상세히 설명하기 위한 도면이다.
도 8은, 본 발명의 몇몇 실시예에 따른 네트워크 시스템에서, 중개 노드가 수행하는 예시적인 동작들을 설명하는 순서도이다.
도 9는 본 발명의 몇몇 실시예에 따른 단말 장치의 하드웨어 구성도이다.
이하, 첨부된 도면을 참조하여 본 명세서의 실시예들을 상세히 설명한다. 본 명세서의 실시예들의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명의 기술적 사상은 이하의 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 이하의 실시예들은 본 발명의 기술적 사상을 완전하도록 하고, 본 명세서의 실시예들이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 기술적 사상은 청구항의 범주에 의해 정의될 뿐이다.
각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 명세서의 실시예들을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 명세서의 실시예들이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 명세서의 실시예들을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
또한, 본 명세서의 실시예들의 구성 요소를 설명하는 데 있어서, 제1, 제2 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성 요소 또는 소프트웨어 컴포넌트가 다른 구성 요소 또는 소프트웨어 컴포넌트에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결되거나 또는 접속될 수 있지만, 각 구성 요소 사이에 또 다른 구성 요소가 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다.
이하, 몇몇 실시예들에 대하여 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은, IoT 장치들(10-1, 10-2)과 IoT 서버들(20-1, 20-2)이 퍼블릭 인터넷 네트워크를 통해서 연결된 예시적인 모습을 나타내는 도면이다. 퍼블릭 인터넷 망은 누구나 액세스 할 수 있는 네트워크이므로, 퍼블릭 인터넷의 일부 구간이 공격자의 경로 변조 및 스니핑 공격으로 인해 위협받을 수 있다. 또한 주로 클라이언트 단말(10-1, 10-2))이 위치하는 가정 내 IoT 네트워크 환경에서, 최종 사용자가 설치 및 관리하는 게이트웨이가 안전하게 관리되지 않는 경우, 공격자의 무단 액세스로 인해 DNS 조작, 트래픽 우회, DoS 등의 공격이 발생할 수 있다. 또한, 서버(20-1, 20-2)가 클라이언트 장치(10-1, 10-2)를 강력하게 인증하지 않으면, 악의적으로 변조되거나 허가되지 않은 장치가 IoT 서비스에 무단으로 연결할 수 있게 된다.
도 1에 도시된 바와 같이, 퍼블릭 인터넷만으로 구성된 네트워크를 통해 보안 위협으로부터 안전한 IoT 서비스를 제공하기 위해서는, IoT 장치들과 IoT 서버들 사이에 VPN(Virtual Private Network)을 구축하고, 장치들 사이의 통신을 암호화하여야 한다. 그런데 TCP/IP 기반의 VPN과 종래의 암호화 프로토콜을 이용한 통신은, 제한된 컴퓨팅 파워와 리소스를 가지는 소형 경량 IoT 장치들에게는 적합하지 않은 경우가 많다.
도 2는, 본 발명의 일 실시예에 따른 예시적인 네트워크 시스템을 나타낸 도면이다. 본 실시예에 따른 네트워크 시스템은 IoT 장치들(10-1, 10-2), IoT 서버들(20-1, 20-2)이 퍼블릭 인터넷으로 직접 연결된, 도 1에 도시된 네트워크와 구별될 수 있다.
도 2를 참조하면, 본 실시예에 따른 네트워크 시스템은 중개 노드들(30-1, 30-2) 및 인증 서버(40)를 더 포함할 수 있다.
본 실시예에 따른 네트워크 시스템에서, 중개 노드들(30-1, 30-2)은 IoT 장치들(10-1, 10-2)과 IoT 서버들(20-1, 20-2) 사이의 데이터 교환을 중개할 수 있다. 다시 말해 IoT 장치들(10-1, 10-2)과 IoT 서버들(20-1, 20-2)은 중개 노드들(30-1, 30-2)을 경유하여 서로 데이터를 교환할 수 있다.
본 실시예에 따른 네트워크 시스템에서, 인증 서버(40)는 IoT 장치들(10-1, 10-2)과 IoT 서버들(20-1, 20-2)을 인증하고, 특정 네트워크 망에 접근하기 위해 필요한 인증 정보를 제공하거나 또는 제공하지 않을 수 있다. 후술하겠지만, IoT 장치들(10-1, 10-2)과 IoT 서버들(20-1, 20-2)은 인증 서버(40)로부터의 인증을 획득함으로써, 중개 노드들(30-1 내지 30-4)과의 사이에 후술할 L2TP 터널을 형성할 수 있다. 또한 IoT 장치들(10-1, 10-2)과 IoT 서버들(20-1, 20-2)은 인증 서버(40)로부터의 인증을 획득함으로써, 후술할 VXLAN 오버레이 네트워크에 연결될 수 있게 된다. 인증 서버(40)는 L2TP 인증 서버 및 802.1X 인증 서버를 포함할 수 있으며, 인증 서버(40)는 상기 두 가지 서버가 하나의 하드웨어에 통합되어 구현되거나, 또는 둘 이상의 하드웨어에 각각 구현된 것일 수 있다.
본 실시예에 따른 네트워크 시스템에서, IoT 장치들(10-1, 10-2)과 중개 노드들(30-1, 30-2)은 서로 퍼블릭 인터넷 망을 통해서 연결될 수 있으며, IoT 서버들(20-1, 20-2)과 중개 노드들(30-1, 30-2) 또한 퍼블릭 인터넷 망을 통해서 서로 연결될 수 있다. 본 실시예에 따른 네트워크 시스템에서, 중개 노드들(30-1, 30-2) 상호간에는 신뢰할 수 있는 인터넷을 통해서 연결될 수 있으며, 중개 노드들(30-1, 30-2)과 인증 서버(40) 또한 신뢰할 수 있는 인터넷을 통해서 연결될 수 있다.
도 3은, 도 2를 참조하여 설명된 네트워크 시스템을 보다 자세히 설명하기 위한 도면이다.
도 3을 참조하면, 퍼블릭 인터넷 망을 통해 연결되는 IoT 장치들(10-1, 10-2)과 중개 노드들(30-1, 30-3) 사이에는 L2TP 터널(50-1, 50-3)이 형성될 수 있으며, 마찬가지로 퍼블릭 인터넷 망을 통해 연결되는 IoT 서버들(20-1, 20-2)과 중개 노드들(30-2, 30-4) 사이에도 L2TP 터널(50-2, 50-4)이 형성될 수 있다.
여기서 L2TP(Layer 2 Tunneling Protocol)는 레이어 2의 가상 사설망을 지원하는 터널링 프로토콜이다. L2TP는 네트워크를 통해 전송하기 위해 레이어 2 패킷(예: PPP)을 캡슐화한다. 일반적으로 L2TP 터널의 양 끝점은 LAC(L2TP 액세스 집중 장치) 및 LNS(L2TP 네트워크 서버)이다. 액세스 장치에 구성된 L2TP 액세스 집중 장치(LAC)는 원격 클라이언트로부터 패킷을 수신하여 원격 네트워크의 L2TP 네트워크 서버(LNS)에 전달하며, LNS는 원격 클라이언트에서 LAC에 의해 터널링된 레이어 2 세션의 논리적 종료 지점으로 기능할 수 있다.
도 3에 도시된 예시적인 네트워크 시스템에서는, 여러 IoT 장치들(10-1, 10-2)과 IoT 서버들(20-1, 20-2)이 각각 LAC에 해당할 수 있고, L2TP 터널의 반대편에 위치하는 중개 노드들(30-1 내지 30-4)이 LNS의 역할을 수행하는 것으로 이해될 수 있다. 도 3에 도시된 예시적인 네트워크 시스템에서, L2TP 터널은, 유니 캐스트, 브로드 ,캐스트 및 멀티 캐스트를 지원하는 L2TPv3 터널일 수 있다.
한편, 장치들(10-1, 10-2)과 서버들(20-1, 20-2)이 중개 노드들(30-1 내지 30-4)로의 L2TP 터널(50-1 내지 50-4)을 형성하기 위해서는, L2TP 인증 정보가 요구될 수 있다. 각 장치들(10-1, 10-2)과 서버들(20-1, 20-2)은 인증 서버(40)로부터 L2TP 인증 정보를 획득될 수 있는데, 여기서 인증 서버(40)는 L2TP 인증 서버일 수 있다. 인증 서버(40)는 장치들(10-1, 10-2)과 서버들(20-1, 20-2) 각각으로부터, 예컨대 장치 식별 정보(ID) 및 패스워드 정보(PW)를 포함한 인증 요청 정보를 수신하고, 인증에 성공할 경우, 각 장치 또는 서버가 연결될 중개 노드(30-1 내지 30-4)의 식별 정보, 네트워크 주소(URL, IP 주소 등), 및 L2TP 인증 정보(예컨대 터널 ID, 세션 ID)를 제공할 수 있다. 인증 서버(40)로부터 상기 인증 정보들을 획득한 장치들(10-1, 10-2) 또는 서버들(20-1, 20-2)은 상기 인증 정보를 이용하여 각각 적절한 중개 노드(30-1 내지 30-4)와 L2TP 터널(50-1 내지 50-4)을 형성할 수 있게 된다.
계속해서 도 3을 참조하면, 신뢰할 수 있는 인터넷 망을 통해 연결되는 중개 노드들(30-1 내지 30-4) 사이에는 VXLAN 방식의 오버레이 네트워크가 형성될 수 있다. 구체적으로, 중개 노드들(30-1 내지 30-4) 사이는, 도 3에 도시된 네트워크 시스템을 통해 제공될 수 있는 다양한 서비스들 각각에 대응되는 서로 다른 VXLAN 터널들이 형성되고, 이를 통해 각각의 서비스마다 분리된 가상 네트워크가 제공될 수 있다.
VXLAN(Virtual Extensible LAN)은 대규모 클라우드 컴퓨팅에서의 확장성 문제를 해결하고자 개발된 네트워크 가상화 기술이다. 구체적으로, VXLAN은 터널링을 사용하여 레이어 3 네트워크를 통해 레이어 2 연결을 확장할 수 있도록 한 캡슐화 기술이다. VXLAN 기술은, 1600만개의 네트워크 식별자(VNID)를 제공하는 가상화된 오버레이 네트워크를 클라우드 상에 제공할 수 있으며, 예컨대 서로 다른 각각의 서비스마다 가상의 레이어 2 네트워크가 제공될 수 있다. 다시 말해, 각각의 서비스마다 고유의 분리된 가상 네트워크가 제공될 수 있으며, 각 서비스 별로 인가되지 않은 임의의 장치의 액세스를 제한하는 것이 가능하다.
VXLAN 기술을 통해 만들어진 가상 네트워크에서 패킷의 캡슐화 및 디캡슐화를 수행하는 노드는 VTEP(VXLAN Tunnel Endpoint)라고 지칭된다. 도 3에 도시된 예시적인 네트워크 시스템에서는, 중개 노드들(30-1 내지 30-4)이 각각이 VTEP의 역할을 수행하는 것으로 이해될 수 있다.
결과적으로, 도 3에 도시된 예시적인 네트워크 시스템에서, 중개 노드들(30-1 내지 30-4)은 L2TPv3 터널의 일단에서 LNS의 역할을 수행하며, 동시에 VXLAN 터널의 일단에서 VTEP 역할을 수행하는 노드로 이해될 수 있다. 구체적으로, 중개 노드들(30-1 내지 30-4)은 IoT 장치들(10-1, 10-2) 및 IoT 서버들(20-1, 20-2)과의 사이에 형성된 L2TP 터널을, 다른 중개 노드들(30-1 내지 30-4)과의 사이에 형성된 VXLAN 터널들 중 적합한 터널과 연결하는 역할을 수행할 수 있다.
예를 들어, 특정 IoT 서비스를 제공하는 IoT 장치(10-1)와 IoT 서버(20-2)는 각각 L2TP 터널(50-1, 50-4)을 통해 중개 노드(30-1) 및 중개 노드(30-4)와 연결될 수 있다. 그리고 중개 노드(30-1)와 중개 노드(30-4)는, 상기 IoT 서비스를 제공하기 위한, 분리된 가상의 오버레이 네트워크를 제공하는 VXLAN 터널(60-1)을 통해서 서로 연결될 수 있다. 중개 노드(30-1)는 IoT 장치(10-1)와의 사이에 형성된 L2TP 터널(50-1)을 VXLAN 터널(60-1)과 연결하고, 중개 노드(30-4)는 IoT 서버(20-2)와의 사이에 형성된 L2TP 터널(50-4)을 VXLAN 터널(60-1)과 연결함으로써, 결과적으로 IoT 장치(10-1)와 IoT 서버(20-2) 사이의 연결을 제공할 수 있다.
이어서 도 4를 참조하여, 본 발명의 몇몇 실시예에 따른 네트워크 시스템에서 단말들 사이의 통신이 보호되는 방식을 설명한다. 도 4는, 예컨대 도 3에 도시된 네트워크 시스템에서, IoT 장치들(10-1, 10-2)과 IoT 서버들(20-1, 20-2) 사이의 통신이 보호되는 방식을 이해하기 위하여 참조될 수 있다.
도 3에 도시된 실시예에서 이용되는 L2TP 터널링 프로토콜 자체는 암호화를 제공하지 않으므로, L2TP 터널을 통해 송수신되는 데이터를 보호하기 위한 별도의 수단이 필요할 수 있다. 한편, 도 3에 도시된 실시예에서 이용되는 VXLAN 기술을 통해 구축되는 오버레이 네트워크는, 인증을 완료한 장치에 한하여 특정 VXLAN으로의 액세스에 필요한 정보가 제공되므로, 비인가 장치의 액세스가 기본적으로 차단된다. 그런데 악의적인 공격이나 보안 취약점 등에 기인하여 특정 VXLAN 네트워크로의 액세스에 필요한 정보가 유출될 경우, 허가되지 않은 장치가 특정 VXLAN에 액세스하고, 해당 VXLAN에 연결된 다른 장치들과의 사이에 데이터를 송수신하거나 송수신되는 데이터를 가로 챌 위험이 있다.
위와 같은 문제를 방지하기 위하여, 본 발명의 몇몇 실시예에 따른 네트워크 시스템에서는, MACsec (802.1AE) 프로토콜에 따른 데이터 보안을 제공할 수 있다.
MACsec은 데이터 링크 계층 프레임에 대한 암호화와 무결성을 제공하는 계층 2 보안 프로토콜이다. MACsec은 IPsec에 비해 더 작은 사이즈의 헤더를 이용하여 전송 효율성이 높으므로, Long Range (LoRa) WAN (Wide Area Network)과 같이 낮은 대역폭에서 제공되는 레이어 2 IoT 네트워크 등에 적용될 수 있다. MACsec은 물리적 포트 기반 암호화 및 복호화를 구현할 수 있으므로, 고속의 경량 연결에 적합한 프로토콜이다. 한편, MACsec을 적용하기 위해서는 유니 캐스트, 브로드 캐스트, 멀티 캐스트가 가능한 레이어 2 네트워크가 요구된다. MACsec은 서비스 거부(DoS: Denial of Service), 침입, 맨-인-더-미들 공격, Masquerading, 플레이백 공격 등 다양한 보안 위협을 식별하고 방지할 수 있다.
도 4를 참조하면, 본 발명의 몇몇 실시예에 따른 네트워크 시스템에서, 장치들, 예컨대 IoT 장치(10)와 IoT 서버(20)는, 인증 서버(40)의 인증을 거쳐서 연결 수립을 위한 공유키(CAK: Connectivity Association Key, 이하 "공유키"라고 지칭)를 획득할 수 있다. 여기서 인증 서버(40)는 예컨대 802.1X 인증 서버일 수 있다.
장치들(10, 20) 각각은 공유키로부터 키 암호화 키(KEK: Key Encryption Key)를 도출해 낼 수 있다. 구체적으로 장치들(10, 20)은 인증 서버(40)로부터 획득한 공유키를 사전에 정의된 함수에 투입함으로써, 키 암호화 키(KEK)를 획득할 수 있다. 즉, 장치들(10, 20)은 동일한 인증 서버(40)로부터 획득한 하나의 공유키(CAK)로부터 도출되는 동일한 키 암호화 키(KEK)를 서로 공유할 수 있다.
한편, 장치들(10, 20)은 각자 자신의 데이터를 안전하게 보호하기 위한 암호화 키(SAK: Secure Association Key, 이하 "세션키"라고 지칭)를 생성하여, 다른 장치와 교환하는 데이터를 보호하기 위해 이용할 수 있다.
구체적으로, 장치들(10, 20)은 임의의 암호화 키를 생성하기 위한 종래의 다양한 방식, 예컨대 랜덤 값 발생 함수 등을 이용함으로써, 자기 고유의 세션키(SAK)를 생성할 수 있다. 그리고 장치들(10, 20) 중 어느 하나(10)는 예컨대 다른 장치(20)와의 통신 세션이 개시될 때, 키 암호화 키(KEK)를 이용하여 자신의 세션키(SAK)를 암호화하고, 암호화된 세션키(SAK)를 다른 장치(20)에게 제공할 수 있다. 그 후 장치(10)는 자신의 세션키(SAK)를 이용하여 암호화된 데이터를 장치(20)에게 송신할 수 있다.
장치(10)로부터 암호화된 세션키(SAK)를 획득한 장치(20)는, 자신이 보유한 키 암호화 키(KEK)를 이용하여 장치(10)의 세션키(SAK)를 복호화할 수 있다. 그 후 장치(20)는 장치(10)로부터 수신되는 데이터를 장치(10)의 세션키(SAK)를 이용하여 복호화하여 판독할 수 있다.
마찬가지로, 장치(20)는 장치(10)와의 통신 세션이 개시될 때, 자신의 고유한 세션키(SAK)를 키 암호화 키(KEK)를 이용하여 암호화하여 장치(10)에게 제공하고, 이후 장치(10)로 송신하는 데이터를 장치(20) 자신의 세션키(SAK)로 암호화하여 보호할 수 있다.
위와 같은 방법에 의하여, 각각의 장치(10, 20)가 인증 서버(40)로부터 제공받은 공유키(CAK)를 이용하여 각자 자신의 세션키(SAK)를 암호화하여 통신 상대방 장치에게 제공하고, 서로 교환하는 데이터(payload)는 각자의 세션키(SAK)로 암호화하여 보호함으로써, 장치들(10, 20) 사이에 주고받는 데이터가 보호될 수 있다. 예를 들어, 장치(10) 및 장치(20)가 참여하는 VXLAN에 액세스할 수 있는 정보를 획득한 공격자 장치(71)가 공격자 VTEP(72)을 통해 상기 VXLAN에 액세스하게 될 경우, 장치(10)와 장치(20) 사이에 교환되는 데이터를 가로 챌 위험이 있지만, 장치(10)와 장치(20) 사이에 교환되는 데이터가 MACsec 프로토콜에 따라 보호되므로, 공격자 장치(71)는 장치들(10, 20) 사이에 교환되는 데이터를 판독할 수 없게 된다. 다시 말해, 공격자 장치(71)와 공격자 VTEP(72)가 VXLAN으로의 액세스 정보를 획득하여 VXLAN 터널에 참여하더라도, 인증 서버(40)로부터 CAK를 획득하지 못한 공격자 장치(71)와 공격자 VTEP(72)는 MACsec 키 계약(MKA: MACsec Key Association) 과정을 거치지 못하므로, 다른 장치들(10, 20)의 세션키를 복호화할 수 없고, 다른 장치들(10, 20)이 주고받는 데이터를 판독할 수 없게 된다.
지금까지 도 2 내지 도 4를 참조하여, 본 발명의 몇몇 실시예에 따른 네트워크 시스템을 설명하였다.
본 실시예들에 따른 네트워크 시스템은, 클라이언트 장치와 서버 사이의 네트워크가 퍼블릭 인터넷만으로 구성된 네트워크 시스템(도 1 참조)보다 안전한 통신을 제공할 수 있으며, 클라이언트 장치와 서버 사이의 네트워크가 신뢰할 수 있는 인터넷(Trusted Internet)만으로 구성된 네트워크 시스템보다 저렴한 비용으로 구축될 수 있다.
본 실시예들에 따른 네트워크 시스템은, 신뢰할 수 있는 인터넷으로 연결된 다수의 중개 노드들(30-1 내지 30-4)을 구비하고, 각각의 중개 노드들(30-1 내지 30-4)과 클라이언트(10) 또는 서버(20) 사이는 퍼블릭 인터넷으로 연결할 수 있다. 본 네트워크 시스템은, 중개 노드들(30-1 내지 30-4)과 클라이언트(10) 또는 서버(20) 사이의 퍼블릭 인터넷 구간에 L2TP 터널을 형성하고, 신뢰할 수 있는 인터넷으로 연결된 중개 노드들(30-1 내지 30-4) 사이에는 복수의 VXLAN 터널을 형성함으로써, 각각의 서비스마다 분리된 가상의 오버레이 네트워크를 제공할 수 있으며, 퍼블릭 인터넷 망을 함께 이용하므로 오버레이 네트워크가 연결되는 거리에도 제한이 없어질 수 있다. 또한, 본 네트워크 시스템은, VXLAN 터널을 이용한 가상의 오버레이 네트워크를 제공함으로써, 1600만개 이상의, 사실상 개수의 제한이 없는 많은 수의 분리된 네트워크를 제공할 수 있게 된다.
본 실시예들에 따른 네트워크 시스템의 중개 노드들(30-1 내지 30-4)은 L2TP 터널의 LNS로서 동작하면서, 동시에 VXLAN의 VTEP로서 동작할 수 있다. 중개 노드들(30-1 내지 30-4)은 퍼블릭 인터넷 구간에서 클라이언트(10) 또는 서버(20)와의 사이에 형성된 L2TP 터널을, 신뢰할 수 있는 인터넷 구간에서 다른 중개 노드들(30-1 내지 30-4)과의 사이에 형성된 VXLAN 터널에 연결함으로써, 궁극적으로 클라이언트(10)와 서버(20) 사이에 레이어 2 기반의 가상의 오버레이 네트워크를 제공할 수 있다. 또한, 본 네트워크 시스템은, 보안에 취약할 수 있는 로컬 게이트웨이 대신에 중개 노드들을 통해 안전하게 인증을 수행하고 종단간 암호화를 수행하므로, 높은 보안성을 제공할 수 있다.
본 실시예들에 따른 네트워크 시스템은, 예컨대 802.1X 인증 서버를 이용한 MACsec 보안 인증을 제공함으로써, 설사 공격자 장치(71)가 가상 오버레이 네트워크(예컨대 VXLAN)로의 액세스 정보를 획득하여 네트워크에 참여하더라도, 인증 서버로부터 CAK를 획득하지 못한 공격자 장치(71)는 다른 장치들의 세션키를 복호화할 수 없으므로, 인증된 장치들이 가상 오버레이 네트워크 상에서 교환하는 데이터를 보호할 수 있다.
본 실시예들에 따른 네트워크 시스템이 제공하는 레이어 2 기반의 가상의 오버레이 네트워크는, TCP/IP 기반의 VPN 네트워크보다 더 적은 컴퓨팅 파워를 요구하므로, 제한된 리소스를 구비한 소형 경량의 단말들이 보다 원활하게 서비스를 이용할 수 있다. MACsec 프로토콜은 세션 별로 추가적인 키 교환이 불필요하며 대칭키를 이용할 수 있어서 암호화 효율이 높으므로, 네트워크 대역폭을 절감하고 소형 경량의 단말들의 CPU와 메모리 리소스 사용도 절약할 수 있다.
이하에서는 도 5를 참조하여, 본 발명의 다른 일 실시예에 따른 예시적인 네트워크 시스템에서 장치들 사이에 연결이 수립되는 과정을 설명한다.
도 5에는, 본 실시예에 따른 IoT 서비스를 제공하기 위한 네트워크 시스템에서 IoT 장치(10)와 IoT 서버(20) 사이에 연결이 수립되는 과정에서, 네트워크 시스템을 구성하는 엔티티들 사이에 주고받는 메시지들이 도시되어 있다.
도 5를 참조함에 있어서, 중개 노드(30-1), 연결 제어기(35), L2TP 인증 서버(40-1), 802.1X 인증 서버(40-2), 중개 노드(30-2) 사이는 신뢰할 수 있는 인터넷으로 연결되어 있다고 가정하고, 중개 노드(30-1)와 중개 노드(30-2) 사이에는 VXLAN 터널이 형성되어 있다고 가정한다. 또한 중개 노드(30-2)와 IoT 서버(20) 사이에는 L2TP 터널이 형성되어 있다고 가정한다.
먼저 단계(S110)에서, IoT 장치(10)는 L2TP 서버(40-1)로부터 L2TP 인증을 획득한다. 구체적으로, 장치(10)는 자신의 식별 정보(ID) 및 패스워드(PW) 등을 포함하는 L2TP 인증 요청을 L2TP 인증 서버(40-1)로 전송할 수 있다. 만약 장치(10)가 허가된 장치라면, L2TP 인증 서버(40-1)는 L2TP 세션 정보를 포함하는 인증 정보를 장치(10)에게 전송할 수 있다. 여기서 인증 정보는 장치(10)와 인접한 중개 노드(30-1)의 네트워크 주소 정보(IP 주소 및/또는 URL), L2TP 터널의 형성에 사용되는 터널 ID 및 세션 ID를 포함할 수 있다.
단계(S120)에서, IoT 장치(10)는 연결 제어기(35) 또는 중개 노드(30-1)와의 사이에 L2TP 터널 요청/응답 메시지 및 L2TP 세션 요청/응답 메시지를 주고받음으로써, 중개 노드(30-1)와의 사이에 L2TPv3 터널과 L2TPv3 세션을 형성할 수 있다. 여기서 연결 제어기(35)는 중개 노드(30-1)를 제어하는 엔티티로서, 중개 노드(30-1)와 별개의 하드웨어로 구성될 수도 있지만, 중개 노드(30-1)에 통합되어 구현될 수도 있다. 단계(S120)에서, IoT 장치(10)는 복수의 중개 노드들 중에 물리적으로 가장 가까운 중개 노드(30-1)와의 사이에 L2TPv3 터널 및 세션을 형성할 수 있다.
단계(S120)이 완료되면, 퍼블릭 인터넷에 연결된 IoT 장치(10)는, 신뢰할 수 있는 인터넷에 연결된 중개 노드(30-1)와 L2TPv3 터널을 통해 연결될 수 있다.
단계(S130)에서, IoT 장치(10)는 인증 서버(40-2)로부터 802.1X 인증을 획득할 수 있다. 구체적으로, 연결 제어기(35)(또는 중개 노드(30-1))는 장치(10)에게 예컨대 EAPoL 인증을 위한 신원 정보를 요청하고, 장치(10)는 자신의 EAPoL 인증 요청 정보를 상기 연결 제어기(35)에게 제공할 수 있다. 연결 제어기(35)는, 장치(10)의 인증 요청 정보를 이용하여, 예컨대 RADIUS 프로토콜을 통해 인증 서버(40-2)로부터 장치(10)의 인증을 획득할 수 있다. 만약 장치(10)가 허가된 장치라면, 인증 서버(40-2)는 장치(10)가 참여할 가상 오버레이 네트워크의 VXLAN ID와 CAK를 AVP(Attribute Value Pair)로서 장치(10)에게 제공할 수 있다. 여기서 VXLAN ID는 상기 IoT 장치(10)가 통신하고자 하는 IoT 서버(20)와 연관된 VXLAN의 식별 정보일 수 있다. 중개 노드(30-1)는 장치(10)와의 사이에 연결된 L2TPv3 터널을, 상기 VXLAN ID에 대응되는 VXLAN 터널에 연결할 수 있다.
단계(S130)이 완료되면, IoT 장치(10)는, 레이어 2 기반의 L2TPv3 터널 및 VXLAN 터널을 제공하는 중개 노드(30-1)를 통하여, IoT 서버(20)와 동일한 가상 오버레이 네트워크(VXLAN)에 연결될 수 있으며, 상기 가상 오버레이 네트워크 상의 다른 장치와 데이터를 교환하는데 필요한 CAK를 획득하게 된다.
단계(S140)에서 장치(10)는 MACsec 키 교환 계약(MKA)을 수행하고, 이어서 MACsec 프로토콜에 의해 보호된 통신을 수행할 수 있다. 구체적으로, 장치(10)는 단계(S130)에서 획득한 CAK, 즉 공유키로부터 키 암호화 키(KEK: Key Encryption Key)를 도출해 낼 수 있다. 예를 들어 장치(10)는 인증 서버(40-1)로부터 획득한 공유키(CAK)를 사전에 정의된 함수에 투입함으로써, 키 암호화 키(KEK)를 획득할 수 있다. 장치(10)는 키 암호화 키(KEK)를 이용하여 암호화된 서버(20)의 세션키(SAK)를 서버(20)로부터 획득할 수 있으며, 상기 암호화된 세션키를 키 암호화 키를 이용하여 복호화해 낼 수 있다. 장치(10)는 서버(20)의 세션키가 성공적으로 수신 및 복호화되었음을 나타내는 메시지를 서버(20)에게 전송하고, 이후 서버가 자신의 세션키(SAK)를 이용하여 암호화하여 송신하는 데이터(payload)를 복호화하여 판독할 수 있게 된다.
단계(S140)가 완료되면, 장치(10)가 서버(20)와 MACsec 암호화된 데이터를 주고받기 위한 MACsec 인증이 완료되고, 장치(10)와 서버(20) 사이에 데이터의 안전한 교환이 가능해질 수 있다.
도 6은, 본 발명의 몇몇 일 실시예에 따른 네트워크 시스템에서, 제1 단말이 제2 단말과 통신하는 예시적인 방법의 순서도이다. 도 6을 참조하여 설명될 이하의 단계들(S110 내지 S140)은, 도 5를 참조하여 설명한 네트워크 시스템에서 IoT 장치(10)와 IoT 서버(20) 사이에 연결이 수립되는 과정 중에서, IoT 장치(10)가 수행하는 동작들인 것으로 이해될 수 있으나, 이에 한정되는 것은 아니다. 다시 말해, 이하의 설명에서 제1 단말은 예컨대 도 5를 참조하여 설명한 실시예의 IoT 장치(10)일 수 있고, 제2 단말은 예컨대 상기 실시예의 IoT 서버(20)일 수 있다.
도 6에 도시된 실시예는 본 발명의 실시예들의 목적을 달성하기 위한 일 실시예일 뿐이며, 필요에 따라 일부 단계가 추가되거나 삭제될 수 있다. 도 6에 도시된 통신 방법의 각 단계는, 제1 단말, 예컨대 IoT 장치(10, 10-1, 10-2)에 의해 수행될 수 있다. 상기 통신 방법의 각 단계는 컴퓨팅 장치의 프로세서에 의해 실행되는 하나 이상의 인스트럭션들로 구현될 수 있다. 상기 통신 방법에 포함되는 모든 단계는 하나의 물리적인 컴퓨팅 장치에 의하여 실행될 수도 있을 것이나, 상기 방법의 제1 단계들은 제1 컴퓨팅 장치에 의하여 수행되고, 상기 방법의 제2 단계들은 제2 컴퓨팅 장치에 의하여 수행될 수도 있다. 이하에서는, 통신 방법의 각 단계가 제1 단말에 의해 수행되는 것을 가정하여 설명을 이어가도록 한다. 다만, 설명의 편의를 위해, 상기 통신 방법에 포함되는 각 단계의 동작 주체는 그 기재가 생략될 수도 있다.
별도로 언급하지 않더라도, 본 실시예에 따른 통신 방법의 각 동작에 있어서, 도 2 내지 도 5를 참조하여 앞서 설명된 실시예들의 기술 사상이 반영될 수 있음은 물론이다. 또한, 반대로 본 실시예에 따른 통신 방법의 각 동작에 반영된 기술 사상 역시 도 2 내지 도 5를 참조하여 설명된 네트워크 시스템의 구성 및 동작에 반영될 수 있을 것이다.
먼저 단계(S110)에서는, 제1 단말이 인증 서버로 인증 요청 정보를 송신하고, 인증에 성공한 경우 인증 서버로부터 제1 인증 정보를 획득할 수 있다. 전술한 바와 같이, 제1 단말은 IoT 장치(10, 10-1, 10-2)일 수 있으며, 인증 서버는 L2TP 인증 서버(40-1)일 수 있다. 인증 요청 정보는 제1 단말의 식별 정보 및 패스워드 정보 등을 포함할 수 있다. 제1 인증 정보는 복수의 중개 노드들 중 제1 단말에 가장 가까운 중개 노드의 식별자, 네트워크 주소, L2TP 터널 ID, L2TP 세션 ID를 포함할 수 있다. 여기서 제1 단말에 가장 가까운 중개 노드란 제1 단말과 물리적으로 가장 가까이에 위치하는 중개 노드일 수도 있지만, 제1 단말과 논리적으로 가장 가까운 중개 노드, 예컨대 제1 단말과의 사이에 네트워크 레이턴시가 가장 짧은 중개 노드일 수 있다.
단계(S120)에서는, 제1 인증 정보를 이용하여 제1 단말이 중개 노드와의 사이에 연결을 수립할 수 있다. 구체적으로, 제1 인증 정보에 포함된 중개 노드의 네트워크 주소, 터널 ID, 세션 ID를 이용하여, 중개 노드와의 사이에 L2TPv3 터널을 형성하고, L2TPv3 세션을 생성할 수 있다. 단계(S120)은, 제1 단말과 중개 노드가 L2TP 터널 요청/응답 메시지 및/또는 L2TP 세션 요청/응답 메시지를 주고받는 단계를 포함할 수 있다. 단계(S120)이 완료되면, 제1 단말은 중개 노드와 L2TPv3 터널을 통해 연결될 수 있다.
단계(S130)에서는, 제1 단말이 중개 노드를 통하여 인증 서버로부터 제2 인증 정보를 획득할 수 있다. 여기서 인증 서버는 802.1X 인증 서버(40-2)일 수 있다. 구체적으로, 중개 노드는 제1 단말에게 예컨대 EAPoL 인증을 위한 신원 정보를 요청하고, 제1 단말은 자신의 EAPoL 인증 요청 정보를 중개 노드에게 제공할 수 있다. 중개 노드는, 제1 단말의 인증 요청 정보를 이용하여, 예컨대 RADIUS 프로토콜을 통해 인증 서버로부터 제1 단말의 인증을 획득할 수 있다. 만약 제1 단말이 허가된 장치라면, 인증 서버는 제2 인증 정보를 제1 단말에게 제공할 수 있다. 제2 인증 정보는, 제1 단말이 참여할 가상 오버레이 네트워크의 식별 정보 및 암호화된 통신을 위한 키 정보(공유키)를 포함할 수 있다. 여기서 가상 오버레이 네트워크의 식별 정보는 제1 단말이 통신하고자 하는 제2 단말이 참여하고 있는 가상 오버레이 네트워크(예컨대 VXLAN)의 식별 정보(예컨대 VXLAN ID)일 수 있다. 또한 상기 공유키는 제2 단말과의 사이에 MACsec 프로토콜에 따른 통신을 수행하기 위한 CAK일 수 있다.
단계(S140)에서, 제1 단말은 제2 인증 정보를 이용하여 제2 단말과 통신할 수 있다. 이때 제1 단말은 중개 노드를 경유하여 제2 단말과 통신할 수 있다.
단계(S140)에 대해서는 도 7을 함께 참조하여 설명한다.
구체적으로 제1 단말은 상기 네트워크 식별 정보를 이용하여 제2 단말이 참여하고 있는 가상 오버레이 네트워크에 참여할 수 있다. 이때, 중개 노드는 제1 단말과의 사이에 형성된 L2TPv3 터널을, 상기 가상 오버레이 네트워크 식별 정보(예컨대 VXLAN ID)에 대응되는 VXLAN 터널에 연결함으로써(단계 S141), 제1 단말이 상기 가상 오버레이 네트워크에 참여할 수 있도록 한다.
한편, 제1 단말은 단계(S130)에서 획득한 공유키(예컨대 CAK)를 이용하여, 제2 단말과 주고받는 데이터를 보호할 수 있다.
구체적으로, 제1 단말은 제2 인증 정보에 포함된 공유키를 사전에 정의된 함수에 투입함으로써, 키 암호화 키(KEK)를 획득할 수 있다(단계 S143).
제1 단말은 제2 단말의 암호화된 세션키(SAK)를 제2 단말로부터 수신하고(단계 S145), 제2 단말의 암호화된 세션키를 상기 키 암호화 키(KEK)를 이용하여 복호화할 수 있다(단계 S147).
제1 단말은 복호화된 제2 단말의 세션키(SAK)를 이용하여, 제2 단말로부터 수신되는 암호화된 데이터(payload)를 복호화하여 판독할 수 있다(단계 S149).
지금까지 설명한 단계(S110) 내지 단계(S140)을 수행함으로써, 제1 단말과 제2 단말 사이에 레이어 2 기반의 가상의 오버레이 네트워크가 제공될 수 있으며, 제1 단말과 제2 단말이 보안성 있는 방식으로 데이터를 교환할 수 있게 된다.
이하에서는 도 8을 참조하여, 본 발명의 몇몇 실시예에 따른 네트워크 시스템에서, 중개 노드가 수행하는 예시적인 동작들을 설명한다. 도 8을 참조하여 설명될 이하의 단계들(S210 내지 S250)은, 도 5를 참조하여 설명한 네트워크 시스템에서 IoT 장치(10)와 IoT 서버(20) 사이에 연결이 수립되는 과정 중에서, 중개 노드(30-1) 및/또는 연결 제어기(35)가 수행하는 동작들인 것으로 이해될 수 있으나, 이에 한정되는 것은 아니다. 이하의 설명에서 제1 단말은 예컨대 도 5를 참조하여 설명한 실시예의 IoT 장치(10)일 수 있고, 복수의 중개 노드들은 예컨대 상기 실시예의 중개 노드들(30-1, 30-2)일 수 있으며, 인증 서버는 상기 실시예의 802.1X 인증 서버(40-2)일 수 있다. 이하의 설명에서 제1 중개 노드는, L2TP 네트워크 서버(LNS)이면서 VXLAN 터널 엔드포인트(VTEP)의 역할을 모두 수행하는 노드일 수 있다.
도 8을 참조하면, 먼저 단계(S210)에서 제1 중개 노드는 복수의 중개 노드들과 복수의 가상 오버레이 네트워크를 형성할 수 있다. 여기서 가상 오버레이 네트워크를 형성하는 것은, 복수의 중개 노드들과의 사이에 VXLAN 터널을 형성하는 것을 포함할 수 있다.
단계(S220)에서, 제1 중개 노드는 제1 단말과의 사이에 연결을 수립할 수 있다. 제1 중개 노드 또는 제1 중개 노드와 연관된 연결 제어기는, 제1 단말로부터 예컨대 L2TP 터널 및 L2TP 세션 형성 요청을 수신할 수 있고, 이에 응답하여 제1 단말과의 사이에 예컨대 L2TPv2 터널 및 세션을 형성할 수 있다.
단계(S230)에서, 제1 중개 노드는 제1 단말로부터 인증 요청 정보를 획득할 수 있다. 보다 구체적으로, 제1 중개 노드 또는 제1 중개 노드와 연관된 연결 제어기는, 제1 단말에게 예컨대 EAPoL 인증을 위한 신원 정보를 요청하고, 제1 단말로부터 EAPoL 인증 요청 정보를 획득할 수 있다.
단계(S240)에서, 제1 중개 노드 또는 제1 중개 노드와 연관된 연결 제어기는, 인증 서버로부터 제1 단말을 위한 인증 정보를 획득할 수 있다. 제1 중개 노드 등은 제1 단말의 인증 요청 정보를 이용하여, 예컨대 RADIUS 프로토콜을 통해 인증 서버로부터 제1 단말을 위한 인증 정보를 획득할 수 있다. 여기서 인증 서버는 예컨대 802.1X 인증 서버(40-2)일 수 있다.
상기 인증 정보는 제1 단말이 참여할 가상 오버레이 네트워크의 식별 정보 및 암호화된 통신을 위한 키 정보(공유키)를 포함할 수 있다. 여기서 가상 오버레이 네트워크의 식별 정보는 제1 단말이 통신하고자 하는 제2 단말이 참여하고 있는 가상 오버레이 네트워크(예컨대 VXLAN)의 식별 정보(예컨대 VXLAN ID)일 수 있다. 또한 상기 공유키는 제2 단말과의 사이에 MACsec 프로토콜에 따른 통신을 수행하기 위한 CAK일 수 있다.
단계(S250)에서, 제1 중개 노드 또는 제1 중개 노드와 연관된 연결 제어기는, 이때, 중개 노드는 제1 단말과의 사이에 형성된 L2TPv3 터널을, 상기 가상 오버레이 네트워크 식별 정보(예컨대 VXLAN ID)에 대응되는 VXLAN 터널에 연결함으로써, 제1 단말이 상기 가상 오버레이 네트워크에 참여할 수 있도록 할 수 있다.
지금까지 도 5 내지 도 8을 참조하여, 본 발명의 몇몇 실시예에 따른 네트워크 시스템에서, 제1 단말과 제2 단말 사이에 레이어 2 기반의 가상의 오버레이 네트워크를 제공하기 위하여, 제1 단말, 제1 중개 노드 및 그 연결 제어기, 및 인증 서버들이 수행하는 동작을 설명하였다.
본 실시예들의 동작 방법에 따르면, 클라이언트 장치와 서버 사이의 네트워크가 퍼블릭 인터넷만으로 구성된 네트워크 시스템(도 1 참조)보다 안전한 통신을 제공할 수 있으며, 클라이언트 장치와 서버 사이의 네트워크가 신뢰할 수 있는 인터넷(Trusted Internet)만으로 구성된 네트워크 시스템보다 저렴한 비용으로 구축될 수 있다.
본 실시예들의 동작 방법에 따르면, 중개 노드들(30-1 내지 30-2)과 제1 단말(10) 또는 제2 단말(20) 사이의 퍼블릭 인터넷 구간에 L2TP 터널을 형성하고, 신뢰할 수 있는 인터넷으로 연결된 중개 노드들(30-1 내지 30-2) 사이에는 복수의 VXLAN 터널을 형성함으로써, 각각의 서비스마다 분리된 가상의 오버레이 네트워크를 제공할 수 있다.
본 실시예들의 동작 방법에 따르면, 중개 노드들(30-1 내지 30-2)은 L2TP 터널의 LNS로서 동작하면서, 동시에 VXLAN의 VTEP로서 동작할 수 있다. 중개 노드들(30-1 내지 30-2)은 퍼블릭 인터넷 구간에서 제1 단말(10) 또는 제2 단말(20)과의 사이에 형성된 L2TP 터널을, 신뢰할 수 있는 인터넷 구간에서 다른 중개 노드들(30-1 내지 30-2)과의 사이에 형성된 VXLAN 터널에 연결함으로써, 궁극적으로 제1 단말(10)와 제2 단말(20) 사이에 레이어 2 기반의 가상의 오버레이 네트워크를 제공할 수 있다.
본 실시예들의 동작 방법에 따르면, TCP/IP 기반의 VPN 네트워크보다 더 적은 컴퓨팅 파워를 요구하는 레이어 2 기반의 가상의 오버레이 네트워크가 제공될 수 있다. 상기 레이어 2 기반의 가상의 오버레이 네트워크를 통하여, 제한된 리소스를 구비한 소형 경량의 단말들이 보다 원활하게 서비스를 이용할 수 있다.
본 실시예들의 동작 방법에 따르면, 예컨대 802.1X 인증 서버를 이용한 MACsec 보안 인증을 제공함으로써, 미인가 장치가 가상 오버레이 네트워크(예컨대 VXLAN)로의 액세스 정보를 획득하여 네트워크에 참여하더라도, 인증 서버로부터 CAK를 획득하지 못한 미인가 장치는 다른 장치들의 세션키를 복호화할 수 없으므로, 인증된 장치들이 가상 오버레이 네트워크 상에서 교환하는 데이터를 보호할 수 있다.
지금까지 도 1 내지 도 8을 참조하여, 본 발명의 몇몇 실시예에 따른 오버레이 네트워크를 통한 통신 방법 및 그 시스템에 관하여 설명하였다.
지금까지 도 1 내지 도 8을 참조하여 설명된 본 발명의 기술적 사상은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체는, 예를 들어 이동형 기록 매체(CD, DVD, 블루레이 디스크, USB 저장 장치, 이동식 하드 디스크)이거나, 고정식 기록 매체(ROM, RAM, 컴퓨터 구비 형 하드 디스크)일 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체에 기록된 상기 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.
이하, 본 발명의 몇몇 실시예들에 따른 예시적인 컴퓨팅 장치의 하드웨어 구성을 도 9를 참조하여 설명하기로 한다. 도 9를 참조하여 설명하는 컴퓨팅 장치는, 예를 들어 도 2 내지 도 5를 참조하여 설명한 IoT 장치(10), IoT 서버(20), 또는 중개 노드(30-1 내지 30-4) 등의 하드웨어 구성일 수 있다.
도 11은 본 발명의 다양한 실시예에서 컴퓨팅 장치를 구현할 수 있는 예시적인 하드웨어 구성도이다. 컴퓨팅 장치(1000)는 하나 이상의 프로세서(1100), 시스템 버스(1600), 통신 인터페이스(1200), 프로세서(1100)에 의하여 수행되는 컴퓨터 프로그램(1500)을 로드(load)하는 메모리(1400)와, 컴퓨터 프로그램(1500)을 저장하는 스토리지(1300)를 포함할 수 있다.
프로세서(1100)는 컴퓨팅 장치(1000)의 각 구성의 전반적인 동작을 제어한다. 프로세서(1100)는 CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), GPU(Graphic Processing Unit) 또는 본 발명의 기술 분야에 잘 알려진 임의의 형태의 프로세서 중 적어도 하나를 포함하여 구성될 수 있다. 또한, 프로세서(1100)는 본 발명의 다양한 실시예들에 따른 방법/동작을 실행하기 위한 적어도 하나의 애플리케이션 또는 프로그램에 대한 연산을 수행할 수 있다. 컴퓨팅 장치(1000)는 둘 이상의 프로세서를 구비할 수 있다.
메모리(1400)는 각종 데이터, 명령 및/또는 정보를 저장한다. 메모리(1400)는 본 발명의 다양한 실시예들에 따른 방법/동작들을 실행하기 위하여 스토리지(1300)로부터 하나 이상의 컴퓨터 프로그램(1500)을 로드(load) 할 수 있다. 메모리(1400)의 예시는 RAM이 될 수 있으나, 이에 한정되는 것은 아니다. 시스템 버스(1600)는 컴퓨팅 장치(1000)의 구성 요소 간 통신 기능을 제공한다.
시스템 버스(1600)는 주소 버스(Address Bus), 데이터 버스(Data Bus) 및 제어 버스(Control Bus) 등 다양한 형태의 버스로 구현될 수 있다. 통신 인터페이스(1200)는 컴퓨팅 장치(1000)의 유무선 인터넷 통신을 지원한다. 통신 인터페이스(1200)는 인터넷 통신 외의 다양한 통신 방식을 지원할 수도 있다. 이를 위해, 통신 인터페이스(1200)는 본 발명의 기술 분야에 잘 알려진 통신 모듈을 포함하여 구성될 수 있다. 스토리지(1300)는 하나 이상의 컴퓨터 프로그램(1500)을 비임시적으로 저장할 수 있다. 스토리지(1300)는 플래시 메모리 등과 같은 비휘발성 메모리, 하드 디스크, 착탈형 디스크, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함하여 구성될 수 있다.
컴퓨터 프로그램(1500)은 본 발명의 다양한 실시예들에 따른 방법/동작들이 구현된 하나 이상의 인스트럭션들을 포함할 수 있다. 컴퓨터 프로그램(1500)이 메모리(1400)에 로드 되면, 프로세서(1100)는 상기 하나 이상의 인스트럭션들을 실행시킴으로써 본 발명의 다양한 실시예들에 따른 방법/동작들을 수행할 수 있다.
이상 첨부된 도면을 참조하여 본 명세서의 실시예들을 설명하였지만, 본 명세서의 실시예들이 속하는 기술분야에서 통상의 지식을 가진 자는 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 본 명세서의 실시예들이 다른 구체적인 형태로도 실시될 수 있다는 것을 이해할 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명에 의해 정의되는 기술적 사상의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (20)

  1. 제1 단말에 의해 수행되는 방법에 있어서,
    제1 인증 서버로부터 제1 인증 정보를 획득하는 단계;
    상기 제1 인증 정보를 이용하여 제1 중개 노드와의 통신을 위한 연결을 수립하는 단계;
    상기 제1 중개 노드를 통해 제2 인증 서버로부터 전송된 제2 인증 정보를 획득하되, 상기 제2 인증 정보는 제2 단말과의 통신을 위한 가상 네트워크의 식별 정보 및 공유키를 포함하는, 단계; 및
    상기 제2 인증 정보를 이용하여 상기 제2 단말과의 통신을 수행하는 단계를 포함하되,
    상기 제2 인증 정보를 이용하여 상기 제2 단말과의 통신을 수행하는 단계는:
    상기 식별 정보를 이용해 상기 가상 네트워크에 액세스하는 단계; 및
    상기 공유키를 이용해 암호화된 데이터를 상기 제1 중개 노드와 송수신함으로써, 상기 암호화된 데이터를 상기 가상 네트워크를 통해 상기 제2 단말과 송수신하는 단계를 포함하는,
    통신 방법.
  2. 제1항에 있어서,
    상기 제1 인증 정보는, 복수의 중개 노드들 중 상기 제1 단말에 가장 가까운 중개 노드의 주소를 포함하는,
    통신 방법.
  3. 제1항에 있어서,
    상기 제1 인증 정보는 상기 제1 중개 노드와의 L2TP 터널링을 위한 L2TP 터널 ID 및 L2TP 세션 ID를 포함하고,
    상기 제1 인증 정보를 이용하여 상기 제1 중개 노드와의 통신을 위한 연결을 수립하는 단계는:
    상기 제1 중개 노드와의 사이에 L2TP 터널을 형성하는 단계; 및
    상기 L2TP 터널을 통하여, 상기 제1 중개 노드와의 사이의 L2TP 세션을 형성하는 단계를 포함하는,
    통신 방법.
  4. 제1항에 있어서,
    상기 제1 중개 노드를 통해 상기 제2 인증 서버로부터 전송된 상기 제2 인증 정보를 획득하는 단계는:
    EAPoL 프로토콜을 이용하여 인증 요청 정보를 상기 제1 중개 노드에 전송하는 단계; 및
    상기 제1 중개 노드로부터 상기 제2 인증 정보를 수신하되, 상기 제2 인증 정보는 상기 제1 중개 노드가 상기 인증 요청 정보에 기초하여 RADIUS 프로토콜을 통해 상기 제2 인증 서버로부터 획득한 것인, 단계를 포함하는,
    통신 방법.
  5. 삭제
  6. 삭제
  7. 삭제
  8. 제1항에 있어서,
    상기 공유키를 이용해 암호화된 데이터를 상기 제1 중개 노드와 송수신함으로써, 상기 암호화된 데이터를 상기 가상 네트워크를 통해 상기 제2 단말과 송수신하는 단계는:
    상기 제1 중개 노드를 통해, 제2 단말로부터 전송된, 상기 제2 단말의 세션 키 및 상기 암호화된 데이터를 수신하는 단계;
    상기 공유키에 기초하여 키 암호화 키를 도출하는 단계;
    상기 키 암호화 키를 이용하여, 상기 제2 단말의 세션 키를 복호화하는 단계; 및
    상기 복호화된 상기 제2 단말의 세션 키를 이용하여, 상기 암호화된 데이터를 판독하는 단계를 포함하는,
    통신 방법.
  9. 제1항에 있어서,
    상기 제2 인증 정보를 이용하여 상기 제2 단말과의 통신을 수행하는 단계는:
    상기 제2 단말과 MACsec 프로토콜에 의해 보호된 통신을 수행하는 단계를 포함하는,
    통신 방법.
  10. 제1 중개 노드에 의해 수행되는 네트워크 상에서 단말간 통신을 중개하는 방법에 있어서,
    복수의 중개 노드들과의 통신을 위한 복수의 오버레이 네트워크들을 형성하는 단계;
    제1 단말과의 통신을 위한 연결을 수립하는 단계;
    상기 제1 단말의 인증 요청 정보를 상기 제1 단말로부터 획득하는 단계;
    상기 인증 요청 정보에 기초하여, 인증 서버로부터 상기 제1 단말을 위한 인증 정보를 획득하되, 상기 인증 정보는 오버레이 네트워크의 식별 정보 및 공유키를 포함하는, 단계;
    상기 인증 정보를 상기 제1 단말에 전송하는 단계;
    상기 복수의 오버레이 네트워크들 중에 상기 인증 정보에 대응되는 상기 오버레이 네트워크에 상기 제1 단말을 연결하는 단계; 및
    상기 오버레이 네트워크를 통해 상기 제1 단말과 제2 단말 사이에 송수신되는 데이터를 중개하되, 상기 데이터는 상기 공유키를 이용해 암호화된 것인, 단계를 포함하는,
    통신 중개 방법.
  11. 제10항에 있어서,
    상기 복수의 중개 노드들과의 통신을 위한 복수의 오버레이 네트워크들을 형성하는 단계는:
    상기 복수의 중개 노드들과의 사이에 복수의 VXLAN 터널을 형성하는 단계를 포함하는,
    통신 중개 방법.
  12. 제10항에 있어서,
    상기 제1 단말과의 통신을 위한 연결을 수립하는 단계는:
    상기 제1 단말과의 사이에 L2TP 터널을 형성하는 단계를 포함하는,
    통신 중개 방법.
  13. 제10항에 있어서,
    상기 제1 단말의 인증 요청 정보를 상기 제1 단말로부터 획득하는 단계는:
    EAPoL 프로토콜을 이용하여 상기 인증 요청 정보를 획득하는 단계를 포함하는,
    통신 중개 방법.
  14. 제10항에 있어서,
    상기 인증 서버로부터 상기 제1 단말을 위한 상기 인증 정보를 획득하는 단계는:
    RADIUS 프로토콜을 이용하여 상기 인증 서버로부터 상기 인증 정보를 획득하는 단계를 포함하는,
    통신 중개 방법.
  15. 제10항에 있어서,
    상기 인증 정보에 대응되는 오버레이 네트워크에 상기 제1 단말을 연결하는 단계는:
    상기 제1 단말과의 사이에 형성된 L2TP 터널을 상기 인증 정보에 대응되는 VXLAN 터널과 연결하는 단계를 포함하는,
    통신 중개 방법.
  16. 제10항에 있어서,
    상기 제1 중개 노드는 L2TP 네트워크 서버(LNS)이자 VXLAN 터널 엔드포인트(VTEP)인,
    통신 중개 방법.
  17. 네트워크 시스템으로서,
    복수의 단말들;
    복수의 중개 노드들; 및
    인증 서버를 포함하되,
    상기 복수의 단말들 중 제1 단말은,
    상기 인증 서버로부터 획득한 제1 인증 정보를 기초로 상기 복수의 중개 노드들 중 상기 제1 단말에 가장 가까운 제1 중개 노드와의 통신을 위한 연결을 수립하고,
    상기 제1 중개 노드를 통하여 제2 인증 정보를 획득하되, 상기 제2 인증 정보는 상기 복수의 단말들 중 제2 단말이 연결된 오버레이 네트워크의 식별 정보 및 공유키를 포함하고,
    상기 제2 인증 정보를 이용하여 상기 제2 단말과 MACsec 프로토콜에 의해 보호된 통신을 수행하고,
    상기 복수의 중개 노드들은 복수의 오버레이 네트워크들을 형성하고,
    상기 복수의 중개 노드들 중 상기 제1 중개 노드는,
    상기 제1 단말로부터 획득한 인증 요청 정보에 기초하여, 상기 제2 인증 정보를 획득하여 상기 제1 단말에게 제공하고,
    상기 복수의 오버레이 네트워크들 중에 상기 식별 정보에 대응되는 상기 오버레이 네트워크에 상기 제1 단말을 연결하고,
    상기 오버레이 네트워크를 통해 상기 제1 단말과 상기 제2 단말 사이에 송수신되는 데이터를 중개하되, 상기 데이터는 상기 공유키를 이용해 암호화된 것인, 단계를 포함하는,
    네트워크 시스템.
  18. 제17항에 있어서,
    상기 인증 서버는,
    상기 제1 인증 정보를 제공하는 L2TP 인증 서버; 및
    상기 제2 인증 정보를 제공하는 802.1X 인증 서버를 포함하는,
    네트워크 시스템.
  19. 제17항에 있어서,
    상기 제1 단말과 상기 제1 중개 노드 사이는 L2TP 터널을 통해 연결되고,
    상기 복수의 중개 노드들은 복수의 VXLAN 터널들을 통해 연결되어 상기 복수의 오버레이 네트워크들을 형성하며,
    상기 제1 중개 노드는 상기 L2TP 터널을, 상기 복수의 VXLAN 터널들 중 상기 제2 인증 정보에 대응되는 VXLAN 터널에 연결하는,
    네트워크 시스템.
  20. 명령어를 저장하는 컴퓨터 판독 가능한 비일시적 저장 매체로서,
    상기 명령어는 프로세서에 의해 실행될 때, 상기 프로세서로 하여금, 제1항 내지 제4항 중 어느 한 항 또는 제8항 내지 제16항 중 어느 한 항에 기재된 방법을 수행하도록 하는,
    컴퓨터 판독 가능한 비일시적 저장 매체.
KR1020210075324A 2021-06-10 2021-06-10 오버레이 네트워크를 통한 통신 방법 및 그 시스템 Active KR102780207B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020210075324A KR102780207B1 (ko) 2021-06-10 2021-06-10 오버레이 네트워크를 통한 통신 방법 및 그 시스템
US17/837,424 US20220400525A1 (en) 2021-06-10 2022-06-10 Method and system for communicating over overlay networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210075324A KR102780207B1 (ko) 2021-06-10 2021-06-10 오버레이 네트워크를 통한 통신 방법 및 그 시스템

Publications (2)

Publication Number Publication Date
KR20220166500A KR20220166500A (ko) 2022-12-19
KR102780207B1 true KR102780207B1 (ko) 2025-03-11

Family

ID=84390164

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210075324A Active KR102780207B1 (ko) 2021-06-10 2021-06-10 오버레이 네트워크를 통한 통신 방법 및 그 시스템

Country Status (2)

Country Link
US (1) US20220400525A1 (ko)
KR (1) KR102780207B1 (ko)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020087666A1 (en) * 2000-12-29 2002-07-04 Huffman Stephen Mark Method for geolocating logical network addresses
US20030135616A1 (en) * 2002-01-11 2003-07-17 Carrico Sandra Lynn IPSec Through L2TP
US20040225898A1 (en) * 2003-01-28 2004-11-11 Frost D. Gabriel System and method for ubiquitous network access
WO2006064410A1 (en) * 2004-12-17 2006-06-22 Koninklijke Philips Electronics N.V. Method and device for securing handover between wwan and wlan
WO2007023208A1 (en) * 2005-08-22 2007-03-01 Teliasonera Ab Authentication and authorization of a remote client
US20140289531A1 (en) * 2013-03-19 2014-09-25 Fuji Xerox Co., Ltd. Communication system, relay device, and non-transitory computer readable medium
US20200067891A1 (en) * 2017-10-11 2020-02-27 Juniper Networks, Inc. Securing end-to-end virtual machine traffic
US10999154B1 (en) * 2020-10-23 2021-05-04 Tempered Networks, Inc. Relay node management for overlay networks

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2127401A4 (en) * 2007-01-22 2012-12-26 Nortel Networks Ltd INTERWORKING BETWEEN A FIRST AND A SECOND AUTHENTICATION DOMAIN
KR101936655B1 (ko) 2017-05-25 2019-04-03 연세대학교 산학협력단 하이퍼그래프 기반의 오버레이 네트워크 모델을 이용한 사물인터넷 객체 탐색 방법 및 장치
US11770358B2 (en) * 2020-03-11 2023-09-26 Dell Products L.P. Security for virtual extensible local area networks

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020087666A1 (en) * 2000-12-29 2002-07-04 Huffman Stephen Mark Method for geolocating logical network addresses
US20030135616A1 (en) * 2002-01-11 2003-07-17 Carrico Sandra Lynn IPSec Through L2TP
US20040225898A1 (en) * 2003-01-28 2004-11-11 Frost D. Gabriel System and method for ubiquitous network access
WO2006064410A1 (en) * 2004-12-17 2006-06-22 Koninklijke Philips Electronics N.V. Method and device for securing handover between wwan and wlan
WO2007023208A1 (en) * 2005-08-22 2007-03-01 Teliasonera Ab Authentication and authorization of a remote client
US20140289531A1 (en) * 2013-03-19 2014-09-25 Fuji Xerox Co., Ltd. Communication system, relay device, and non-transitory computer readable medium
US20200067891A1 (en) * 2017-10-11 2020-02-27 Juniper Networks, Inc. Securing end-to-end virtual machine traffic
US10999154B1 (en) * 2020-10-23 2021-05-04 Tempered Networks, Inc. Relay node management for overlay networks

Also Published As

Publication number Publication date
KR20220166500A (ko) 2022-12-19
US20220400525A1 (en) 2022-12-15

Similar Documents

Publication Publication Date Title
US10708245B2 (en) MACsec for encrypting tunnel data packets
US20230014894A1 (en) Quantum resistant secure key distribution in various protocols and technologies
EP3646553B1 (en) Introducing middleboxes into secure communications between a client and a server
US7702901B2 (en) Secure communications between internet and remote client
EP3432523B1 (en) Method and system for connecting a terminal to a virtual private network
US10425384B1 (en) Optimizing connections over virtual private networks
JP4707992B2 (ja) 暗号化通信システム
CN100591003C (zh) 实现基于无状态服务器的预共享私密
US20160072787A1 (en) Method for creating secure subnetworks on a general purpose network
US8418244B2 (en) Instant communication with TLS VPN tunnel management
US8104082B2 (en) Virtual security interface
WO2021068777A1 (en) Methods and systems for internet key exchange re-authentication optimization
US20080072033A1 (en) Re-encrypting policy enforcement point
US20160105401A1 (en) System and method for internet protocol security processing
CN105429962A (zh) 一种通用的面向加密数据的中间网络服务构建方法与体系
CN114844730A (zh) 一种基于可信隧道技术构建的网络系统
WO2021244569A1 (zh) 数据传输方法、系统、电子设备、存储介质
CN105591748B (zh) 一种认证方法和装置
US20240106811A1 (en) Systems and methods for network privacy
KR102780207B1 (ko) 오버레이 네트워크를 통한 통신 방법 및 그 시스템
US20240022402A1 (en) A Method for Tunneling an Internet Protocol Connection Between Two Endpoints
EP4037252B1 (en) Secure transfer of data between programs executing on the same end-user device
CN114268499A (zh) 数据传输方法、装置、系统、设备和存储介质
US20080059788A1 (en) Secure electronic communications pathway
Alhumrani et al. Cryptographic protocols for secure cloud computing

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20210610

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20230324

Comment text: Request for Examination of Application

Patent event code: PA02011R01I

Patent event date: 20210610

Comment text: Patent Application

E90F Notification of reason for final refusal
PE0902 Notice of grounds for rejection

Comment text: Final Notice of Reason for Refusal

Patent event date: 20241113

Patent event code: PE09021S02D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20250114

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20250307

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20250307

End annual number: 3

Start annual number: 1

PG1601 Publication of registration