[go: up one dir, main page]

KR101247167B1 - Security mobile communication repeater with firewall capability - Google Patents

Security mobile communication repeater with firewall capability Download PDF

Info

Publication number
KR101247167B1
KR101247167B1 KR1020110058030A KR20110058030A KR101247167B1 KR 101247167 B1 KR101247167 B1 KR 101247167B1 KR 1020110058030 A KR1020110058030 A KR 1020110058030A KR 20110058030 A KR20110058030 A KR 20110058030A KR 101247167 B1 KR101247167 B1 KR 101247167B1
Authority
KR
South Korea
Prior art keywords
mobile communication
security policy
terminal
baseband
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020110058030A
Other languages
Korean (ko)
Other versions
KR20120138505A (en
Inventor
전인영
Original Assignee
전인영
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 전인영 filed Critical 전인영
Priority to KR1020110058030A priority Critical patent/KR101247167B1/en
Publication of KR20120138505A publication Critical patent/KR20120138505A/en
Application granted granted Critical
Publication of KR101247167B1 publication Critical patent/KR101247167B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L25/00Baseband systems
    • H04L25/02Details ; arrangements for supplying electrical power along data transmission lines
    • H04L25/03Shaping networks in transmitter or receiver, e.g. adaptive shaping networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • H04B7/155Ground-based stations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 보안 이동통신 중계기는 단말기와 이동통신 네트워크 기지국 사이에 전송되는 이동통신 신호를 기저대역 변복조하여 기저대역 데이터를 추출하는 기저대역 처리부, 기저대역 데이터를 분석하고, 설정된 보안 정책의 위반 판정 결과에 따라 기저대역 데이터의 중계를 허용하거나 거부하는 제어부, 보안 정책의 설정 정보를 저장하는 저장부, 그리고 제어부의 지시에 따라 기저대역 데이터에 포함된 패킷 데이터에 대하여 보안 정책의 위반 여부를 판정하는 방화벽 기능부를 포함할 수 있다.The secure mobile communication repeater of the present invention analyzes the baseband processor and baseband data extracting the baseband data by performing baseband modulation and demodulation on the mobile communication signal transmitted between the mobile station and the mobile communication network base station, and determines the violation of the set security policy. A control unit that permits or denies relaying of the baseband data according to the control, a storage unit storing the setting information of the security policy, and a firewall that determines whether the security policy is violated for packet data included in the baseband data according to the control unit's instructions. It may include a functional unit.

Description

방화벽 기능을 가진 보안 이동통신 중계기{SECURITY MOBILE COMMUNICATION REPEATER WITH FIREWALL CAPABILITY}SECURITY MOBILE COMMUNICATION REPEATER WITH FIREWALL CAPABILITY}

본 발명은 이동통신 중계기에 관한 것으로, 더욱 상세하게는, 소형 이동통신 중계기에 관한 것이다.The present invention relates to a mobile communication repeater, and more particularly, to a small mobile communication repeater.

종래에 주로 외부의 기지국 신호가 잘 잡히지 않는 옥내에서, 그러한 음영 위치에 이동통신 서비스를 제공하기 위해 사용되는 이동통신 중계기는 기지국의 신호를 수신하여 법이 허용하는 저출력의 신호를 발산하거나 또는 이동통신 단말기의 신호를 수신하여 기지국으로 전달하는 단순한 신호 중계 역할을 수행한다.Conventionally, a mobile communication repeater used to provide a mobile communication service at such a shadow position mainly in an indoor base station where the signal of an external base station is difficult to receive receives a signal of a base station and emits a signal of low power permitted by law or mobile communication. It serves as a simple signal relay that receives the signal from the terminal and delivers it to the base station.

그런데, 최근의 이동통신 서비스 및 기술의 중심이 음성 서비스에서 무선 디지털 데이터 서비스로 급격히 이동하고 있고, 데이터 서비스의 경우 3G 서비스에서 4G 서비스로 전환되는 등 안정적이면서 고속 전송이 가능한 상태로 발전하고 있다.However, recently, the center of mobile communication service and technology is rapidly moving from voice service to wireless digital data service, and data service has been developed to enable stable and high speed transmission such as switching from 3G service to 4G service.

또한, 통신 네트워크에 상시 연결되고 고도의 사무 업무 처리가 가능한 스마트폰이 급격히 보급되고 있어서, 스마트폰과 이동통신 서비스를 통해 순식간에 기밀이 유출될 수 있고, 역으로 악성 코드가 스마트폰을 통해 사내 네트워크로 침투할 가능성도 배제할 수는 없다.In addition, smartphones that are constantly connected to the communication network and capable of high-level office work are rapidly spreading, which can quickly leak confidential information through smartphones and mobile communication services. The possibility of penetration into the network cannot be ruled out.

이러한 무선 환경에서, 회사 내에서 사무용 컴퓨터와 내부 네트워크용 하드웨어 만을 대상으로 구축된 보안 시스템은 스마트폰과 이동통신 서비스를 통한 기밀 유출이나 침입, 악성 코드의 전파에 취약한 상태이다.In such a wireless environment, a security system built only for office computers and internal network hardware in a company is vulnerable to confidential leaks, intrusions, and malicious code propagation through smartphones and mobile communication services.

본 발명이 해결하고자 하는 과제는 옥내의 이동통신 단말기와 외부의 기지국 사이에서 신호를 중계하면서 보안 기능을 제공할 수 있는 방화벽 기능을 가진 보안 이동통신 중계기를 제공하는 데에 있다.An object of the present invention is to provide a secure mobile communication repeater having a firewall function that can provide a security function while relaying a signal between an indoor mobile communication terminal and an external base station.

본 발명의 일 측면에 따른 보안 이동통신 중계기는,Security mobile communication repeater according to an aspect of the present invention,

단말기와 이동통신 네트워크 기지국 사이에 전송되는 이동통신 신호를 기저대역 변복조하여 기저대역 데이터를 추출하는 기저대역 처리부;A baseband processor extracting baseband data by baseband modulating and demodulating the mobile communication signal transmitted between the terminal and the mobile communication network base station;

상기 기저대역 데이터를 분석하고, 설정된 보안 정책의 위반 판정 결과에 따라 상기 기저대역 데이터의 중계를 허용하거나 거부하는 제어부;A controller for analyzing the baseband data and allowing or denying relaying of the baseband data according to a violation determination result of a set security policy;

상기 보안 정책의 설정 정보를 저장하는 저장부; 및A storage unit which stores setting information of the security policy; And

상기 제어부의 지시에 따라 상기 기저대역 데이터에 포함된 패킷 데이터에 대하여 보안 정책의 위반 여부를 판정하는 방화벽 기능부를 포함할 수 있다.And a firewall function unit for determining whether a security policy is violated with respect to packet data included in the baseband data according to an instruction of the controller.

일 실시예에 따라, 상기 저장부는 보안 정책의 위반 판정을 상기 방화벽 기능부 또는 외부의 방화벽 설비 중 어떤 것을 통해 수행할 것인지 지정하는 방화벽 선택 정보를 더 저장하며,According to an embodiment of the present disclosure, the storage unit further stores firewall selection information that specifies whether a violation of a security policy is to be performed through the firewall function unit or an external firewall facility.

상기 제어부는 상기 방화벽 선택 정보에 따라, 상기 방화벽 기능부 또는 외부의 방화벽 설비 중 적어도 하나에 상기 패킷 데이터를 제공하도록 동작할 수 있다.The controller may be operable to provide the packet data to at least one of the firewall function unit or an external firewall facility according to the firewall selection information.

일 실시예에 따라, 상기 제어부는 상기 보안 정책이 무선 패킷 데이터 서비스를 허용하지 않도록 설정된 경우에는, 단말기로부터 수신된 기저대역 데이터가 서비스 옵션 교섭 요청 신호를 포함한 때에 서비스 옵션 교섭 거부 신호를 상기 단말기로 전송하도록 동작할 수 있다.According to an embodiment, when the security policy is set to not allow the wireless packet data service, the controller transmits a service option negotiation rejection signal to the terminal when the baseband data received from the terminal includes a service option negotiation request signal. Operate to transmit.

일 실시예에 따라, 상기 제어부는 상기 패킷 데이터가 보안 정책을 위반한다고 판정되면 상기 단말기에 PDP 컨텍스트 해제 요청 신호를 전송하도록 동작할 수 있다.According to an embodiment of the present disclosure, if it is determined that the packet data violates a security policy, the controller may be operable to transmit a PDP context release request signal to the terminal.

일 실시예에 따라, 상기 제어부는 단말기가 서비스 옵션 교섭 요청을 할 때에 상기 단말기의 식별 번호를 저장하고, 상기 패킷 데이터가 보안 정책을 위반한다고 판정되면 상기 단말기의 저장된 식별 번호에 기초하여 상기 단말기에 PDP 컨텍스트 해제 요청 신호를 전송하도록 동작할 수 있다.According to an embodiment, the control unit stores the identification number of the terminal when the terminal requests a service option negotiation, and if it is determined that the packet data violates a security policy, the controller transmits the identification number to the terminal based on the stored identification number of the terminal. And transmit a PDP context release request signal.

일 실시예에 따라, 상기 제어부는 상기 패킷 데이터가 보안 정책을 위반한다고 판정되면 상기 이동통신 네트워크 기지국에 PDP 컨텍스트 해제 요청 신호를 전송하도록 동작할 수 있다.According to an embodiment of the present disclosure, if it is determined that the packet data violates a security policy, the controller may be operable to transmit a PDP context release request signal to the mobile communication network base station.

본 발명의 다른 측면에 따른 단말기와 이동통신 네트워크 기지국 사이에 이동통신 신호를 중계하는 보안 중계기를 이용한 보안 이동통신 중계 방법에 있어서, 상기 보안 중계기가,In the secure mobile communication relay method using a security repeater for relaying a mobile communication signal between a terminal and a mobile communication network base station according to another aspect of the present invention, the security repeater,

보안 정책의 설정 정보를 저장하는 단계;Storing setting information of the security policy;

상기 이동통신 신호를 기저대역 변복조하여 얻은 상기 기저대역 데이터에 포함된 패킷 데이터에 대하여, 상기 보안 정책에 관한 위반 여부의 판정 결과를 얻는 단계; 및Obtaining a determination result of a violation of the security policy on packet data included in the baseband data obtained by baseband modulation and demodulation of the mobile communication signal; And

상기 보안 정책을 위반하지 않은 것으로 판정된 경우에만 상기 기저대역 데이터의 중계를 허용하는 단계를 포함할 수 있다.Allowing relaying of the baseband data only if it is determined that the security policy has not been violated.

일 실시예에 따라, 상기 보안 이동통신 중계 방법은,According to one embodiment, the secure mobile communication relay method,

상기 보안 정책의 위반 판정을 상기 보안 중계기에 내장된 방화벽 기능부 또는 외부의 방화벽 설비 중 어떤 것을 통해 수행할 것인지 지정하는 방화벽 선택 정보를 저장하는 단계; 및Storing firewall selection information designating whether a violation of the security policy is to be performed through a firewall function unit built in the security relay or an external firewall facility; And

상기 방화벽 선택 정보에 따라, 상기 방화벽 기능부 또는 외부의 방화벽 설비 중 적어도 하나에 상기 패킷 데이터를 제공하는 단계를 더 포함할 수 있다.The method may further include providing the packet data to at least one of the firewall function unit and an external firewall facility according to the firewall selection information.

일 실시예에 따라, 상기 보안 이동통신 중계 방법은,According to one embodiment, the secure mobile communication relay method,

상기 보안 정책이 무선 패킷 데이터 서비스를 허용하지 않도록 설정된 경우에, 단말기로부터 수신된 기저대역 데이터가 서비스 옵션 교섭 요청 신호를 포함한 때에 서비스 옵션 교섭 거부 신호를 상기 단말기로 전송하는 단계를 더 포함할 수 있다.If the security policy is set to disallow wireless packet data service, the method may further include transmitting a service option negotiation rejection signal to the terminal when the baseband data received from the terminal includes a service option negotiation request signal. .

일 실시예에 따라, 상기 보안 이동통신 중계 방법은,According to one embodiment, the secure mobile communication relay method,

상기 패킷 데이터가 보안 정책을 위반한다고 판정되면, 상기 단말기에 PDP 컨텍스트 해제 요청 신호를 전송하는 단계를 더 포함할 수 있다.If it is determined that the packet data violates a security policy, the method may further include transmitting a PDP context release request signal to the terminal.

일 실시예에 따라, 상기 보안 이동통신 중계 방법은,According to one embodiment, the secure mobile communication relay method,

단말기가 서비스 옵션 교섭 요청을 할 때에 상기 단말기의 식별 번호를 저장하는 단계; 및Storing an identification number of the terminal when the terminal makes a service option negotiation request; And

상기 패킷 데이터가 보안 정책을 위반한다고 판정되면 상기 단말기의 저장된 식별 번호에 기초하여 상기 단말기에 PDP 컨텍스트 해제 요청 신호를 전송하는 단계를 더 포함할 수 있다.If it is determined that the packet data violates a security policy, the method may further include transmitting a PDP context release request signal to the terminal based on the stored identification number of the terminal.

일 실시예에 따라, 상기 보안 이동통신 중계 방법은,According to one embodiment, the secure mobile communication relay method,

상기 패킷 데이터가 보안 정책을 위반한다고 판정되면 상기 이동통신 네트워크 기지국에 PDP 컨텍스트 해제 요청 신호를 전송하는 단계를 더 포함할 수 있다.If it is determined that the packet data violates a security policy, the method may further include transmitting a PDP context release request signal to the mobile communication network base station.

본 발명의 보안 이동통신 중계기에 따르면, 보안이 요구되는 구역 내에서 이동통신 단말기에 대한 무선 데이터 서비스의 제공 시에 서비스의 개시와 중단 및 패킷의 중계를 통제할 수 있다.According to the secure mobile communication repeater of the present invention, it is possible to control the start and stop of a service and the relaying of a packet when a wireless data service is provided to a mobile communication terminal in a region requiring security.

본 발명의 보안 이동통신 중계기에 따르면, 기존의 방화벽 설비를 그대로 이용하여 무선 데이터 서비스 시에 보안을 제공할 수 있다.According to the secure mobile communication repeater of the present invention, it is possible to provide security at the time of wireless data service by using an existing firewall facility.

또한 본 발명의 보안 이동통신 중계기에 따르면, 보안 정책에 위배되는 액티비티가 있을 경우에, 통신 중이던 이동통신 단말기와 서버 측에 각각 접속 해제 메시지를 전송함으로써, 통신 부하를 줄일 수 있다.In addition, according to the secure mobile communication repeater of the present invention, when there is an activity that violates the security policy, it is possible to reduce the communication load by transmitting a connection release message to the mobile communication terminal and the server side in communication.

나아가, 본 발명의 보안 이동통신 중계기에 따르면, 기존의 프로토콜을 그대로 이용하여 보안을 제공할 수 있으므로, 통상 피쳐폰(feature phone)이라 불리는 일반 휴대 전화 단말기나 스마트폰, 심지어 PC에서 시도되는 테더링(tethering)의 경우에도 정해진 보안 정책을 적용할 수 있다.Furthermore, according to the secure mobile communication repeater of the present invention, since it is possible to provide security by using the existing protocol as it is, tethering attempted in a general mobile phone terminal, a smart phone, or even a PC, commonly called a feature phone. In the case of tethering, a fixed security policy can be applied.

도 1은 본 발명의 일 실시예에 따른 방화벽 기능을 가진 보안 이동통신 중계기를 이용한 이동통신 시스템을 예시한 개념도이다.
도 2는 본 발명의 일 실시예에 따른 방화벽 기능을 가진 보안 이동통신 중계기를 대략적으로 예시한 블록도이다.
도 3은 본 발명의 일 실시예에 따른 방화벽 기능을 가진 보안 이동통신 중계기의 메시지 흐름을 예시한 흐름도이다.1 is a conceptual diagram illustrating a mobile communication system using a secure mobile communication repeater having a firewall function according to an embodiment of the present invention.
2 is a block diagram schematically illustrating a secure mobile communication repeater having a firewall function according to an embodiment of the present invention.
3 is a flowchart illustrating a message flow of a secure mobile communication repeater having a firewall function according to an embodiment of the present invention.

본문에 개시되어 있는 본 발명의 실시예들에 대해서, 특정한 구조적 내지 기능적 설명들은 단지 본 발명의 실시예를 설명하기 위한 목적으로 예시된 것으로, 본 발명의 실시예들은 다양한 형태로 실시될 수 있으며 본문에 설명된 실시예들에 한정되는 것으로 해석되어서는 아니 된다. For the embodiments of the invention disclosed herein, specific structural and functional descriptions are set forth for the purpose of describing an embodiment of the invention only, and it is to be understood that the embodiments of the invention may be practiced in various forms, The present invention should not be construed as limited to the embodiments described in Figs.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다. Hereinafter, with reference to the accompanying drawings, it will be described in detail a preferred embodiment of the present invention. The same reference numerals are used for the same constituent elements in the drawings and redundant explanations for the same constituent elements are omitted.

도 1은 본 발명의 일 실시예에 따른 방화벽 기능을 가진 보안 이동통신 중계기를 이용한 이동통신 시스템을 예시한 개념도이다.1 is a conceptual diagram illustrating a mobile communication system using a secure mobile communication repeater having a firewall function according to an embodiment of the present invention.

도 1을 참조하면, 이동통신 시스템(10)은 이동통신 단말기(11), 보안 이동통신 중계기(12), 외부 방화벽 설비(13), 방화벽 관리 서버(14), 외부 이동통신 중계기(15), 기지국(16), 어플리케이션 서버(17)로써 설명될 수 있다.Referring to FIG. 1, the mobile communication system 10 includes a mobile communication terminal 11, a secure mobile communication repeater 12, an external firewall facility 13, a firewall management server 14, an external mobile communication repeater 15, It can be described as the base station 16, the application server 17.

사무실과 같이 보안 서비스가 필요한 장소에서 이동통신 서비스를 방화벽 기능을 가진 보안 이동통신 중계기(이하에서 보안 중계기)(12)를 설치하되, 이러한 보안 중계기(12)를 통해서만 이동통신 서비스가 제공되도록 보안 중계기들(12)이 설치된다.Install a secure mobile communication repeater (hereinafter referred to as a security repeater) 12 having a firewall function as a mobile communication service in a place where a security service is required such as an office, but the security repeater so that the mobile communication service is provided only through the security repeater 12. Field 12 is installed.

예를 들어, 이동통신 단말기(11)는 통상적으로 수신되는 이동통신 전파의 세기가 가장 강한 기지국을 자동으로 선택하게 되므로, 만약 사무실 내에서 건물 외부의 기지국(16) 신호보다 보안 중계기(12)의 신호가 더 강하면 이동통신 단말기(11)는 보안 중계기(12)로만 접속하게 된다.For example, since the mobile communication terminal 11 automatically selects a base station having the strongest strength of the received mobile communication radio wave, if the security relay 12 of the security relay 12 is larger than the signal of the base station 16 outside the building in the office, If the signal is stronger, the mobile communication terminal 11 is only connected to the security repeater 12.

이동통신 단말기(11)는 스마트폰, 일반 휴대 전화, 태블릿 PC, PDA 등을 포함할 수 있고, 이러한 단말기와 테더링(tethering)를 통해 무선 데이터 서비스를 이용하려는 컴퓨터도 이러한 범주에 포함될 수 있다.The mobile communication terminal 11 may include a smart phone, a general mobile phone, a tablet PC, a PDA, and the like, and a computer that intends to use a wireless data service through tethering with the terminal may also be included in this category.

이동통신 단말기(11)는 보안 중계기(12)를 거쳐 외부 이동통신 중계기(15), 기지국(16)으로 연결되며, 기지국(16)이 대표하는 이동통신 패킷 교환 네트워크를 거쳐 웹 서비스와 같은 실질적인 인터넷 서비스를 제공하는 어플리케이션 서버(17)에 접속할 수 있다.The mobile communication terminal 11 is connected to the external mobile communication repeater 15 and the base station 16 via the security repeater 12, and through the mobile communication packet switching network represented by the base station 16, a substantial Internet such as a web service. The application server 17 providing the service can be connected.

이때, 외부 이동통신 중계기(15)는 실내의 신호 중계를 담당하는 보안 중계기(12)와 외부의 기지국(16) 사이를 단순 연결하는 역할을 한다. 보안 중계기(12)와 외부 이동통신 중계기(15)는 유선, 예를 들어 광케이블로 연결될 수 있다.At this time, the external mobile communication repeater 15 serves to simply connect the security repeater 12 which is responsible for signal relaying indoors and the external base station 16. The security repeater 12 and the external mobile communication repeater 15 may be connected by wire, for example, by an optical cable.

외부 방화벽 설비(13)는 선택적인 구성요소로서, 보안 중계기(12)는 자체적으로 방화벽 기능을 제공하는 내부 방화벽 기능부와 외부 방화벽 설비(13) 중 적어도 어느 하나를 구동하여 보안 정책을 적용할 수 있다.The external firewall facility 13 is an optional component, and the security repeater 12 may apply at least one of an internal firewall function unit and an external firewall facility 13 to provide a firewall function by itself, to apply a security policy. have.

방화벽 관리 서버(14)는 외부 방화벽 설비(13) 또는 보안 중계기(12) 내부의 방화벽 기능부의 보안 정책을 설정하고 관리할 수 있다.The firewall management server 14 may set and manage a security policy of the firewall function unit inside the external firewall facility 13 or the security repeater 12.

보안 중계기(12)는 이동통신 단말기(11)가 이통통신 기지국(16)을 거쳐 어플리케이션 서버(17)에 접속하기 위해 주고받는 정보들로부터 단말기 식별 정보와 IP 정보를 추출하여 저장하고, 이동통신 단말기(11)가 시도하는 무선 데이터 패킷 전송에 대하여, 방화벽 관리 서버(14)를 통해 관리자가 설정한 보안 정책에 따라, 무선 데이터 패킷 전송 자체를 처음부터 거부하거나, 내장된 방화벽 기능 또는 외부 방화벽 설비(13)를 구동함으로써, 전송되는 무선 데이터 패킷에 따른 구체적인 보안 정책을 실행할 수 있다.The security repeater 12 extracts and stores the terminal identification information and the IP information from the information exchanged by the mobile communication terminal 11 to access the application server 17 via the mobile communication base station 16, and stores the mobile communication terminal. Regarding the wireless data packet transmission attempted by (11), the wireless data packet transmission itself is rejected from the beginning according to the security policy set by the administrator through the firewall management server 14, or a built-in firewall function or an external firewall facility ( 13), the specific security policy according to the transmitted wireless data packet can be executed.

나아가, 보안 중계기(12)는 무선 데이터 패킷이 보안 정책에 위배될 경우에 해당 패킷의 전송을 거부할 뿐 아니라, 이동통신 단말기(11)와 기지국(16)에 각각 접속 해제를 요구하는 신호(예를 들어 PDP 컨텍스트 정보의 해지)를 보내 무선 패킷 데이터 서비스를 종료시킬 수 있다.Furthermore, the security repeater 12 not only rejects the transmission of the packet when the wireless data packet violates the security policy, but also requests a disconnection from the mobile communication terminal 11 and the base station 16, respectively. For example, the cancellation of the PDP context information may be sent to terminate the wireless packet data service.

도 2는 본 발명의 일 실시예에 따른 방화벽 기능을 가진 보안 이동통신 중계기를 대략적으로 예시한 블록도이다.2 is a block diagram schematically illustrating a secure mobile communication repeater having a firewall function according to an embodiment of the present invention.

도 2를 참조하면, 보안 이동통신 중계기(12)는, 안테나(121), 송수신부(122), 기저대역 처리부(123), 제어부(124), 중계부(125), 저장부(126), 방화벽 기능부(127), 입출력부(128)를 포함할 수 있다.Referring to FIG. 2, the secure mobile communication repeater 12 includes an antenna 121, a transceiver 122, a baseband processor 123, a controller 124, a relay 125, a storage 126, The firewall function unit 127 and the input / output unit 128 may be included.

먼저, 보안 중계기(12)에 접속된 단말기(11)와 사이에서 안테나(121)와 송수신부(122)를 거쳐 이동통신 신호가 수신되고, 기저대역 신호로 하향 변조된 다음 기저대역 처리부(123)에서 음성 통신 또는 데이터 통신 중 하나로 처리된다.First, a mobile communication signal is received between the terminal 11 connected to the security repeater 12 through the antenna 121 and the transceiver 122, and is down-modulated into a baseband signal, and then the baseband processor 123. Is handled either as voice communication or data communication.

데이터 패킷은 기저대역 처리부(123)에서 제어부(124)와 중계부(125)를 거쳐 외부 중계기(15)로 전달되며, 기지국(16)을 거쳐 어플리케이션 서버(17)까지 전달된다.The data packet is transmitted from the baseband processor 123 to the external repeater 15 via the control unit 124 and the relay unit 125 and to the application server 17 via the base station 16.

여기서, 중계부(125)는 만약 보안 중계기(12)가 외부 중계기(15)와 광 케이블로 연결될 경우에는 광 입출력 포트로 구현될 수 있다. 만약 보안 중계기(12)가 무선으로 외부 중계기(15)와 연결될 경우에는, 중계부(125)는 무선 송수신기로 구현될 수 있는데, 이때 무선 송수신기는 안테나(121) 및 송수신부(122)와 별도로 구현될 수도 있고, 일정 부분을 공유하도록 설계될 수도 있다.Here, the relay unit 125 may be implemented as an optical input / output port if the security repeater 12 is connected to the external repeater 15 by an optical cable. If the security repeater 12 is wirelessly connected to the external repeater 15, the repeater 125 may be implemented as a wireless transceiver, where the wireless transceiver is implemented separately from the antenna 121 and the transceiver 122. It may be, or may be designed to share some part.

제어부(124)는 저장부(126)에 저장된 보안 정책 설정 정보와 방화벽 선택 정보를 참조하여 데이터 패킷에 대해 보안 정책을 적용할 것인지, 그리고 내부의 방화벽 기능부(127) 또는 외부 방화벽 설비(13) 중 어떤 것에 의해 보안 정책의 위반 여부를 판정할 것인지 여부를 결정할 수 있다.The control unit 124 applies the security policy to the data packet by referring to the security policy setting information and the firewall selection information stored in the storage unit 126, and the internal firewall function unit 127 or the external firewall facility 13 It can be decided whether any of the above will determine whether the security policy is violated.

이를 위해, 제어부(124)는 이동통신 단말기(11)에서 전송된 데이터 패킷을 분석하여 단말기(11)의 식별 정보(예를 들어 전화 번호, ENS, IMEI, SIM, MSN, PIN 등)와 단말기(11)에 부여된 IP 정보, 나아가 패킷의 목적지인 어플리케이션 서버(17)의 IP 정보를 각각 취득하고, 이를 저장부(126)에 저장한다.To this end, the control unit 124 analyzes the data packet transmitted from the mobile communication terminal 11 to identify the terminal 11 identification information (for example, telephone number, ENS, IMEI, SIM, MSN, PIN, etc.) and the terminal ( IP information given to 11), and also IP information of the application server 17 which is the destination of the packet, are respectively obtained and stored in the storage unit 126.

또한 제어부(124)는 방화벽 관리 서버(14)에 의해 지정되는 보안 정책 설정 정보를 저장부(126)에 저장할 수 있다. 이때, 보안 정책은 단말기의 번호 또는 식별 정보에 따라 다르게 설정될 수 있다.In addition, the control unit 124 may store the security policy setting information specified by the firewall management server 14 in the storage unit 126. In this case, the security policy may be set differently according to the number or identification information of the terminal.

방화벽 기능부(127)는, 방화벽 관리 서버(14)에 의해 보안 정책을 적용하도록 설정되고 또한 내부 방화벽 기능부(127)를 이용하도록 설정된 경우에, 지정된 보안 정책에 따라 단말기(11)와 어플리케이션 서버(17) 사이에 전송되는 패킷을 분석하고 보안 정책에 적합한지 또는 위배되는지 판정한다.The firewall function unit 127 is configured to apply a security policy by the firewall management server 14 and, when set to use the internal firewall function unit 127, according to the designated security policy, the terminal 11 and the application server. Analyze the packets transmitted between (17) and determine whether they comply with the security policy or violate.

만약 방화벽 기능부(127)가 전송되는 패킷이 보안 정책을 위반한다고 판정할 경우에는, 제어부(124)는 저장부(126)에 저장된 해당 단말기(11)의 식별 정보와 어플리케이션 서버(17)의 IP 정보를 참조하여, 각각에 대해 PDP 컨텍스트 해제를 비롯한 접속 종료 신호를 생성하여 단말기(11)와 어플리케이션 서버(17)에 전송하며, 해당 패킷에 대해서 중계부(125)에 전달하지 않고 폐기함으로써 중계 동작을 하지 못하도록 제어한다.If the firewall function unit 127 determines that the transmitted packet violates the security policy, the control unit 124 may identify the identification information of the corresponding terminal 11 stored in the storage unit 126 and the IP of the application server 17. With reference to the information, the connection termination signal including the release of the PDP context is generated for each of them and transmitted to the terminal 11 and the application server 17, and the relay operation is performed by discarding the packet without transmitting it to the relay unit 125. To prevent this from happening.

입출력부(128)는 방화벽 관리 서버(14)가 보안 중계기(12)에 접속하여 각종 보안 정책을 설정할 수 있게 한다. 또한 제어부(124)가 입출력부(128)를 통해 패킷의 분석을 의뢰할 수 있도록 외부 방화벽 설비(13)에 대해 통신할 수 있다.The input / output unit 128 allows the firewall management server 14 to access the security relay 12 to set various security policies. In addition, the control unit 124 may communicate with the external firewall facility 13 to request the analysis of the packet through the input and output unit 128.

도 3은 본 발명의 일 실시예에 따른 방화벽 기능을 가진 보안 이동통신 중계기의 메시지 흐름을 예시한 흐름도로서, 예시적으로 3GPP2 규격에서 단말기와 망 기지국 사이에서 이루어지는 서비스 옵션 교섭에 기초한 것이다.3 is a flowchart illustrating a message flow of a secure mobile communication repeater having a firewall function according to an embodiment of the present invention, which is based on service option negotiation between a terminal and a network base station in the 3GPP2 standard.

3GPPS 규격 중 TIA: TSB 58에는 이동통신 단말기가 무선 이동통신 서비스를 개시할 때에 먼저 단말기와 기지국 사이에서 어떤 서비스를 이용할 것인지에 대해 서비스 옵션 교섭(service option negotiation)이 이루어지는 과정이 명시되어 있다. TIA: TSB 58 of the 3GPPS standard specifies a process in which a service option negotiation is performed on which service is used between a terminal and a base station when the mobile communication terminal starts a wireless mobile communication service.

서비스 옵션은 모바일 기술이 발전할수록 확대되고 있는데, 네트워크 설비에 따라서는 특정 서비스를 제공하지 못할 수 있다. 이에 대처하기 위해 서비스에 들어가기에 앞서 단말기와 기지국 사이에 교섭하는 절차를 규정한 것이 서비스 옵션 교섭이다.Service options are expanding as mobile technology evolves, and depending on network equipment, certain services may not be available. In order to cope with this, the service option negotiation is defined by a procedure for negotiating between the terminal and the base station before entering the service.

서비스 옵션 교섭은 서비스를 요청하는 주체가 해당 서비스를 사용하려는 의도와 상대방 장치 또는 중간 설비가 그러한 서비스를 제공할 수 있는지를 묻고 응답을 받는 절차이다.Service option negotiation is the process by which the requesting entity asks for and intends to use the service, and whether the other device or intermediate facility can provide such service.

도 3을 참조하면, 먼저, 단계(S31)에서, 사용자가 보안 중계기(12)의 동작 범위 안에 있는 단말기(11)에서 특정한 어플리케이션 서버(17) 사이에 데이터 전송 경로를 구축하기 위해, 보안 중계기(12)에 단말기(11)의 식별 정보를 포함하는 서비스 옵션 교섭 요청 신호(Service_Option_Request 신호)를 보낸다.Referring to FIG. 3, first, in step S31, a user may establish a data transmission path between a specific application server 17 in a terminal 11 within an operating range of the security repeater 12. 12, a service option negotiation request signal (Service_Option_Request signal) including identification information of the terminal 11 is transmitted.

단계(S32)에서, 보안 중계기(12)는 단말기(11)의 식별 정보를 저장하는 한편, 단말기(11)가 요청하는 서비스가 무선 데이터 서비스인지 판정한다. 무선 데이터 서비스가 아닌 예를 들어 음성 서비스나 단문자 서비스일 경우에는 해당 서비스를 허용하고 단말기(11)를 기지국(16)에 연결한다.In step S32, the security repeater 12 stores the identification information of the terminal 11, while determining whether the service requested by the terminal 11 is a wireless data service. If the service is not a wireless data service, for example, a voice service or a short text service, the service is allowed and the terminal 11 is connected to the base station 16.

요청된 서비스가 무선 데이터 서비스일 경우에, 단계(S33)에서, 보안 중계기(12)는 설정된 보안 정책을 참조하여 무선 데이터 서비스가 허용되는지 판정한다.If the requested service is a wireless data service, in step S33, the security relay 12 refers to the set security policy to determine whether the wireless data service is allowed.

만약 보안 정책 상 무선 데이터 서비스가 허용되지 않은 상태라면, 단계(S34)에서, 보안 중계기(12)는 서비스 옵션 교섭 요청의 중계를 차단하고 서비스 옵션 교섭을 거부하는 신호(Service_Option_Reject)를 단말기(11)에 전달한다. 이 경우, 단말기(11)는 무선 데이터 서비스를 이용할 수 없다고 표시하고 접속 시도를 종료한다.If the wireless data service is not allowed according to the security policy, in step S34, the security relay 12 blocks the relay of the service option negotiation request and transmits a signal (Service_Option_Reject) to reject the service option negotiation. To pass on. In this case, the terminal 11 indicates that the wireless data service is not available and terminates the connection attempt.

만약 보안 정책 상 무선 데이터 서비스가 허용될 경우에는, 단계(S35)에서, 보안 중계기(12)는 서비스 옵션 교섭 요청 신호를 기지국(16)에 전달하고, 이어서, 기지국(16)으로부터 서비스 옵션의 승인(Sevice_Option_Accept) 또는 거절 신호가 접수되면, 보안 중계기(12)는 이를 그대로 단말기(11)로 중계한다.If the wireless data service is allowed in the security policy, in step S35, the security relay 12 transmits a service option negotiation request signal to the base station 16, and then grants the service option from the base station 16. When (Sevice_Option_Accept) or the reject signal is received, the security relay 12 relays it to the terminal 11 as it is.

서비스를 승인받은 단말기(11)는, 단계(S36)에서, 여러 종류의 패킷 데이터 서비스를 이용하기 위한 정보의 집합인 PDP 컨텍스트(Packet Data Protocol context)를 얻을 수 있도록, 보안 중계기(12)를 통해 기지국(16)에 PDP 컨텍스트를 요청하고, 기지국(16)으로부터 PDP 컨텍스트를 수신한다. PDP 컨텍스트는 PDP의 종류(IP 또는 PPP), PDP 주소와 그 종류, QoS 프로파일, 인증, DNS 등의 파라미터들을 포함할 수 있다. 단말기(11)는 PDP 컨텍스트 정보를 받는 절차를 통해 IP 어드레스를 할당받고 QoS를 설정할 수 있다.The terminal 11, which has received the service, through the security relay 12 in order to obtain a PDP context (PDP context), which is a set of information for using various types of packet data services, in step S36. The base station 16 requests the PDP context and receives the PDP context from the base station 16. The PDP context may include parameters such as type of PDP (IP or PPP), PDP address and type thereof, QoS profile, authentication, DNS, and the like. The terminal 11 may be assigned an IP address and set QoS through a procedure of receiving PDP context information.

이제, 단말기(11)는 실제 이용하려고 하였던 패킷 서비스를 사용할 준비를 완료한 상태가 되고, 단계(S37)에서, 원하는 무선 패킷 서비스에 관한 패킷을 생성하여 발신한다.Now, the terminal 11 is ready to use the packet service that was actually going to be used. In step S37, the terminal 11 generates and transmits a packet regarding the desired wireless packet service.

단계(S38)에서, 보안 중계기(12)는 설정에 따라 내부 방화벽 기능부(127) 또는 외부 방화벽 설비(13) 중 어느 하나에 의해 단말기(11) 또는 어플리케이션 서버(17)로부터 수신된 패킷을 분석하고, 수신된 패킷이 보안 정책을 위배하는지 여부를 판정할 수 있다.In step S38, the security relay 12 analyzes the packet received from the terminal 11 or the application server 17 by either the internal firewall function 127 or the external firewall facility 13 according to the setting. And, it can be determined whether the received packet violates the security policy.

단계(S39)에서, 만약 패킷이 보안 정책을 위반하지 않은 경우에, 보안 중계기(12)는 기지국(16) 또는 단말기(11)로 해당 패킷의 중계를 허용한다.In step S39, if the packet does not violate the security policy, the security repeater 12 allows the relay of the packet to the base station 16 or the terminal 11.

단계(S40)에서, 만약 패킷이 보안 정책을 위반하였다고 판정된 경우에는, 보안 중계기(12)는 해당 패킷을 폐기하고, 나아가 해당 무선 패킷 서비스의 강제적인 종료를 위해, 앞서 저장된 단말기(11)의 식별 정보를 참조하여, 해당 단말기(11)에 PDP 컨텍스트의 해제를 요구하는 신호(Deactivate_PDP_Context_Request)를 전송한다.In step S40, if it is determined that the packet violates the security policy, the security relay 12 discards the packet, and further, forcibly terminates the wireless packet service, the terminal 11 of the previously stored terminal 11 With reference to the identification information, the terminal 11 transmits a signal (Deactivate_PDP_Context_Request) requesting the release of the PDP context.

이 단계(S40)에 의해 더 이상의 패킷 데이터 서비스는 가능하지 않지만, 필요에 따라, 예를 들어, 단말기(11)가 접속 중이던 어플리케이션 서버(17)가 패킷의 수신을 기다리고 있다거나, 또는 서버(17)가 지속적으로 악성 코드를 전송하는 경우에는, 단계(S41)에서, 보안 중계기(12)는 기지국(16)에도 PDP 컨텍스트의 해제를 알리는 신호(Deactivate_PDP_Context_Request)를 전송한다. No further packet data service is possible by this step S40, but if necessary, for example, the application server 17 to which the terminal 11 is connected is waiting for the reception of the packet, or the server 17 ) Continuously transmits the malicious code, in step S41, the security relay 12 also transmits a signal Deactivate_PDP_Context_Request indicating the release of the PDP context to the base station 16 as well.

이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명이 상기의 실시예에 한정되는 것은 아니며, 이는 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명의 사상은 아래에 기재된 특허청구범위에 의해서만 파악되어야 하고, 이와 균등하거나 또는 등가적인 변형 모두는 본 발명 사상의 범주에 속한다 할 것이다.As described above, although the present invention has been described by way of limited embodiments and drawings, the present invention is not limited to the above-described embodiments, which can be variously modified and modified by those skilled in the art. Modifications are possible. Accordingly, the spirit of the invention should be understood only by the claims set forth below, and all equivalent or equivalent modifications will fall within the scope of the invention.

10 이동통신 시스템 11 이동통신 단말기
12 보안 이동통신 중계기 121 안테나
122 송수신부 123 기저대역 처리부
124 중계부 125 제어부
126 저장부 127 방화벽 기능부
128 입출력부 13 외부 방화벽 설비
14 방화벽 관리 서버 15 외부 이동통신 중계기
16 기지국 17 어플리케이션 서버10 Mobile communication system 11 Mobile communication terminal
12 Secure Mobile Repeater 121 Antenna
122 Transceiver 123 Baseband Processor
124 repeater 125 control unit
126 Storage 127 Firewall function
128 I / O part 13 External firewall equipment
14 Firewall Management Server 15 External Mobile Repeater
16 Base Station 17 Application Server

Claims (12)

삭제delete 단말기와 이동통신 네트워크 기지국 사이에 전송되는 이동통신 신호를 기저대역 변복조하여 기저대역 데이터를 추출하는 기저대역 처리부;
상기 기저대역 데이터를 분석하고, 설정된 보안 정책의 위반 판정 결과에 따라 상기 기저대역 데이터의 중계를 허용하거나 거부하는 제어부;
상기 보안 정책의 설정 정보를 저장하는 저장부; 및
상기 제어부의 지시에 따라 상기 기저대역 데이터에 포함된 패킷 데이터에 대하여 보안 정책의 위반 여부를 판정하는 방화벽 기능부를 포함하고,
상기 저장부는 보안 정책의 위반 판정을 상기 방화벽 기능부 또는 외부의 방화벽 설비 중 어떤 것을 통해 수행할 것인지 지정하는 방화벽 선택 정보를 더 저장하며,
상기 제어부는 상기 방화벽 선택 정보에 따라, 상기 방화벽 기능부 또는 외부의 방화벽 설비 중 적어도 하나에 상기 패킷 데이터를 제공하도록 동작하는 것을 특징으로 하는 보안 이동통신 중계기.A baseband processor extracting baseband data by baseband modulating and demodulating the mobile communication signal transmitted between the terminal and the mobile communication network base station;
A controller for analyzing the baseband data and allowing or denying relaying of the baseband data according to a violation determination result of a set security policy;
A storage unit which stores setting information of the security policy; And
A firewall function unit configured to determine whether a security policy is violated with respect to packet data included in the baseband data according to an instruction of the controller,
The storage unit further stores firewall selection information that designates whether a violation of the security policy is to be performed through the firewall function unit or an external firewall facility.
And the control unit is configured to provide the packet data to at least one of the firewall function unit and an external firewall facility according to the firewall selection information. 단말기와 이동통신 네트워크 기지국 사이에 전송되는 이동통신 신호를 기저대역 변복조하여 기저대역 데이터를 추출하는 기저대역 처리부;
상기 기저대역 데이터를 분석하고, 설정된 보안 정책의 위반 판정 결과에 따라 상기 기저대역 데이터의 중계를 허용하거나 거부하는 제어부;
상기 보안 정책의 설정 정보를 저장하는 저장부; 및
상기 제어부의 지시에 따라 상기 기저대역 데이터에 포함된 패킷 데이터에 대하여 보안 정책의 위반 여부를 판정하는 방화벽 기능부를 포함하고,
상기 제어부는 상기 보안 정책이 무선 패킷 데이터 서비스를 허용하지 않도록 설정된 경우에는, 단말기로부터 수신된 기저대역 데이터가 서비스 옵션 교섭 요청 신호를 포함한 때에 서비스 옵션 교섭 거부 신호를 상기 단말기로 전송하도록 동작하는 것을 특징으로 하는 보안 이동통신 중계기.A baseband processor extracting baseband data by baseband modulating and demodulating the mobile communication signal transmitted between the terminal and the mobile communication network base station;
A controller for analyzing the baseband data and allowing or denying relaying of the baseband data according to a violation determination result of a set security policy;
A storage unit which stores setting information of the security policy; And
A firewall function unit configured to determine whether a security policy is violated with respect to packet data included in the baseband data according to an instruction of the controller,
The control unit is operable to transmit a service option negotiation rejection signal to the terminal when the baseband data received from the terminal includes the service option negotiation request signal when the security policy is set to not allow the wireless packet data service. Secure mobile communication repeater. 단말기와 이동통신 네트워크 기지국 사이에 전송되는 이동통신 신호를 기저대역 변복조하여 기저대역 데이터를 추출하는 기저대역 처리부;
상기 기저대역 데이터를 분석하고, 설정된 보안 정책의 위반 판정 결과에 따라 상기 기저대역 데이터의 중계를 허용하거나 거부하는 제어부;
상기 보안 정책의 설정 정보를 저장하는 저장부; 및
상기 제어부의 지시에 따라 상기 기저대역 데이터에 포함된 패킷 데이터에 대하여 보안 정책의 위반 여부를 판정하는 방화벽 기능부를 포함하고,
상기 제어부는 상기 패킷 데이터가 보안 정책을 위반한다고 판정되면 상기 단말기에 PDP 컨텍스트 해제 요청 신호를 전송하도록 동작하는 것을 특징으로 하는 보안 이동통신 중계기.A baseband processor extracting baseband data by baseband modulating and demodulating the mobile communication signal transmitted between the terminal and the mobile communication network base station;
A controller for analyzing the baseband data and allowing or denying relaying of the baseband data according to a violation determination result of a set security policy;
A storage unit which stores setting information of the security policy; And
A firewall function unit configured to determine whether a security policy is violated with respect to packet data included in the baseband data according to an instruction of the controller,
And the controller is operable to transmit a PDP context release request signal to the terminal if it is determined that the packet data violates a security policy. 청구항 4에 있어서, 상기 제어부는 단말기가 서비스 옵션 교섭 요청을 할 때에 상기 단말기의 식별 번호를 저장하고, 상기 패킷 데이터가 보안 정책을 위반한다고 판정되면 상기 단말기의 저장된 식별 번호에 기초하여 상기 단말기에 PDP 컨텍스트 해제 요청 신호를 전송하도록 동작하는 것을 특징으로 하는 보안 이동통신 중계기.The terminal of claim 4, wherein the control unit stores the identification number of the terminal when the terminal requests a service option negotiation, and if it is determined that the packet data violates a security policy, the controller controls the PDP to the terminal based on the stored identification number of the terminal. And transmit a context release request signal. 청구항 4에 있어서, 상기 제어부는 상기 패킷 데이터가 보안 정책을 위반한다고 판정되면 상기 이동통신 네트워크 기지국에 PDP 컨텍스트 해제 요청 신호를 전송하도록 동작하는 것을 특징으로 하는 보안 이동통신 중계기.The secure mobile communication repeater of claim 4, wherein the control unit is operable to transmit a PDP context release request signal to the mobile communication network base station when it is determined that the packet data violates a security policy. 삭제delete 단말기와 이동통신 네트워크 기지국 사이에 이동통신 신호를 중계하는 보안 중계기를 이용한 보안 이동통신 중계 방법에 있어서,
상기 보안 중계기가 보안 정책의 설정 정보를 저장하는 단계;
상기 이동통신 신호를 기저대역 변복조하여 얻은 상기 기저대역 데이터에 포함된 패킷 데이터에 대하여, 상기 보안 정책에 관한 위반 여부의 판정 결과를 얻는 단계;
상기 보안 정책을 위반하지 않은 것으로 판정된 경우에만 상기 기저대역 데이터의 중계를 허용하는 단계;
상기 보안 정책의 위반 판정을 상기 보안 중계기에 내장된 방화벽 기능부 또는 외부의 방화벽 설비 중 어떤 것을 통해 수행할 것인지 지정하는 방화벽 선택 정보를 저장하는 단계;및
상기 방화벽 선택 정보에 따라, 상기 방화벽 기능부 또는 외부의 방화벽 설비 중 적어도 하나에 상기 패킷 데이터를 제공하는 단계를 포함하는 것을 특징으로 하는 보안 이동통신 중계 방법.In the secure mobile communication relay method using a security repeater for relaying a mobile communication signal between the terminal and the mobile communication network base station,
Storing, by the security relay, setting information of a security policy;
Obtaining a determination result of a violation of the security policy on packet data included in the baseband data obtained by baseband modulation and demodulation of the mobile communication signal;
Allowing relaying of the baseband data only if it is determined not to violate the security policy;
Storing firewall selection information designating whether the violation of the security policy is to be performed through a firewall function unit built in the security relay or an external firewall facility; and
And providing the packet data to at least one of the firewall function unit and an external firewall facility according to the firewall selection information. 단말기와 이동통신 네트워크 기지국 사이에 이동통신 신호를 중계하는 보안 중계기를 이용한 보안 이동통신 중계 방법에 있어서,
상기 보안 중계기가 보안 정책의 설정 정보를 저장하는 단계;
상기 이동통신 신호를 기저대역 변복조하여 얻은 상기 기저대역 데이터에 포함된 패킷 데이터에 대하여, 상기 보안 정책에 관한 위반 여부의 판정 결과를 얻는 단계;
상기 보안 정책을 위반하지 않은 것으로 판정된 경우에만 상기 기저대역 데이터의 중계를 허용하는 단계;및
상기 보안 정책이 무선 패킷 데이터 서비스를 허용하지 않도록 설정된 경우에, 단말기로부터 수신된 기저대역 데이터가 서비스 옵션 교섭 요청 신호를 포함한 때에 서비스 옵션 교섭 거부 신호를 상기 단말기로 전송하는 단계를 포함하는 것을 특징으로 하는 보안 이동통신 중계 방법.In the secure mobile communication relay method using a security repeater for relaying a mobile communication signal between the terminal and the mobile communication network base station,
Storing, by the security relay, setting information of a security policy;
Obtaining a determination result of a violation of the security policy on packet data included in the baseband data obtained by baseband modulation and demodulation of the mobile communication signal;
Allowing relaying of the baseband data only if it is determined not to violate the security policy; and
If the security policy is set to disallow wireless packet data service, transmitting a service option negotiation rejection signal to the terminal when the baseband data received from the terminal includes a service option negotiation request signal; Secure mobile communication relay method. 단말기와 이동통신 네트워크 기지국 사이에 이동통신 신호를 중계하는 보안 중계기를 이용한 보안 이동통신 중계 방법에 있어서,
상기 보안 중계기가 보안 정책의 설정 정보를 저장하는 단계;
상기 이동통신 신호를 기저대역 변복조하여 얻은 상기 기저대역 데이터에 포함된 패킷 데이터에 대하여, 상기 보안 정책에 관한 위반 여부의 판정 결과를 얻는 단계;
상기 보안 정책을 위반하지 않은 것으로 판정된 경우에만 상기 기저대역 데이터의 중계를 허용하는 단계;및
상기 패킷 데이터가 보안 정책을 위반한다고 판정되면, 상기 단말기에 PDP 컨텍스트 해제 요청 신호를 전송하는 단계를 더 포함하는 것을 특징으로 하는 보안 이동통신 중계 방법.In the secure mobile communication relay method using a security repeater for relaying a mobile communication signal between the terminal and the mobile communication network base station,
Storing, by the security relay, setting information of a security policy;
Obtaining a determination result of a violation of the security policy on packet data included in the baseband data obtained by baseband modulation and demodulation of the mobile communication signal;
Allowing relaying of the baseband data only if it is determined not to violate the security policy; and
If it is determined that the packet data violates a security policy, transmitting a PDP context release request signal to the terminal. 청구항 10에 있어서,
단말기가 서비스 옵션 교섭 요청을 할 때에 상기 단말기의 식별 번호를 저장하는 단계; 및
상기 패킷 데이터가 보안 정책을 위반한다고 판정되면 상기 단말기의 저장된 식별 번호에 기초하여 상기 단말기에 PDP 컨텍스트 해제 요청 신호를 전송하는 단계를 더 포함하는 것을 특징으로 하는 보안 이동통신 중계 방법.The method of claim 10,
Storing an identification number of the terminal when the terminal makes a service option negotiation request; And
And if it is determined that the packet data violates a security policy, transmitting a PDP context release request signal to the terminal based on the stored identification number of the terminal. 청구항 10에 있어서,
상기 패킷 데이터가 보안 정책을 위반한다고 판정되면 상기 이동통신 네트워크 기지국에 PDP 컨텍스트 해제 요청 신호를 전송하는 단계를 더 포함하는 것을 특징으로 하는 보안 이동통신 중계 방법.The method of claim 10,
And transmitting a PDP context release request signal to the mobile communication network base station if it is determined that the packet data violates a security policy.
KR1020110058030A 2011-06-15 2011-06-15 Security mobile communication repeater with firewall capability Active KR101247167B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110058030A KR101247167B1 (en) 2011-06-15 2011-06-15 Security mobile communication repeater with firewall capability

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110058030A KR101247167B1 (en) 2011-06-15 2011-06-15 Security mobile communication repeater with firewall capability

Publications (2)

Publication Number Publication Date
KR20120138505A KR20120138505A (en) 2012-12-26
KR101247167B1 true KR101247167B1 (en) 2013-05-06

Family

ID=47905290

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110058030A Active KR101247167B1 (en) 2011-06-15 2011-06-15 Security mobile communication repeater with firewall capability

Country Status (1)

Country Link
KR (1) KR101247167B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2520223B (en) * 2012-09-11 2020-08-19 In Young Jeon Secure mobile communication relay having firewall function

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089586B2 (en) 2001-05-02 2006-08-08 Ipr Licensing, Inc. Firewall protection for wireless users
KR200428175Y1 (en) * 2006-07-18 2006-10-11 네이션스 주식회사 Integrated WLAN Network Access Device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089586B2 (en) 2001-05-02 2006-08-08 Ipr Licensing, Inc. Firewall protection for wireless users
KR200428175Y1 (en) * 2006-07-18 2006-10-11 네이션스 주식회사 Integrated WLAN Network Access Device

Also Published As

Publication number Publication date
KR20120138505A (en) 2012-12-26

Similar Documents

Publication Publication Date Title
US11490257B2 (en) Method and computing device for carrying out data integrity protection
EP4054218B1 (en) Direct communication processing method, device, relay terminal, and remote terminal
EP3565306B1 (en) Quality of service provisioning for wireless networks
US11140545B2 (en) Method, apparatus, and system for protecting data
US9762389B2 (en) Moderation of network and access point selection in an IEEE 802.11 communication system
US9307478B2 (en) Method and system for controlling access of terminal device to wireless network
CN113206814A (en) Network event processing method and device and readable storage medium
US11700199B2 (en) Transmission of packets relating to a processing rule
EP4090060A2 (en) Network slice admission control (nsac) discovery and roaming enhancements
CN106258015B (en) Service distribution method and device
US20250184731A1 (en) Communication method and communication apparatus
KR101247167B1 (en) Security mobile communication repeater with firewall capability
US9537828B2 (en) Secure mobile communication relay having firewall function
KR101131841B1 (en) System and method for adaptive roaming threshold parameter setup
CN104735749B (en) A kind of method and wireless router, portal platform server accessing network
US10602355B2 (en) Device for accessing a wide area network via a mobile communication network
CN113115468B (en) Control method and device of 5G local network, server, system and storage medium
US20230413353A1 (en) Inter-plmn user plane integration
KR20120069460A (en) System and method for providing a personalalization service in wireless lan
CN119545351A (en) A communication method, system, electronic device, storage medium and program product
Mark et al. The European project trust—reconfigurable terminals and supporting networks
WO2016201707A1 (en) Network state information transfer method and network device

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20110615

PA0201 Request for examination
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20120724

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20121221

PG1501 Laying open of application
GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20130319

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20130319

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20160318

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20160318

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20170320

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20170320

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20180319

Year of fee payment: 6

PR1001 Payment of annual fee

Payment date: 20180319

Start annual number: 6

End annual number: 6

FPAY Annual fee payment

Payment date: 20190319

Year of fee payment: 7

PR1001 Payment of annual fee

Payment date: 20190319

Start annual number: 7

End annual number: 7

PR1001 Payment of annual fee

Payment date: 20200317

Start annual number: 8

End annual number: 8

PR1001 Payment of annual fee

Payment date: 20210319

Start annual number: 9

End annual number: 9

PR1001 Payment of annual fee

Payment date: 20220321

Start annual number: 10

End annual number: 10

PR1001 Payment of annual fee

Payment date: 20230320

Start annual number: 11

End annual number: 11