KR101027725B1 - Security system - Google Patents

Security system Download PDF

Info

Publication number
KR101027725B1
KR101027725B1 KR1020090132584A KR20090132584A KR101027725B1 KR 101027725 B1 KR101027725 B1 KR 101027725B1 KR 1020090132584 A KR1020090132584 A KR 1020090132584A KR 20090132584 A KR20090132584 A KR 20090132584A KR 101027725 B1 KR101027725 B1 KR 101027725B1
Authority
KR
South Korea
Prior art keywords
data packet
unit
proxy
data
management system
Prior art date
Application number
KR1020090132584A
Other languages
Korean (ko)
Inventor
진선태
박대원
백순용
박천오
Original Assignee
주식회사 피앤피시큐어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 피앤피시큐어 filed Critical 주식회사 피앤피시큐어
Priority to KR1020090132584A priority Critical patent/KR101027725B1/en
Priority to JP2012547001A priority patent/JP2013516016A/en
Priority to PCT/KR2010/009273 priority patent/WO2011081358A2/en
Application granted granted Critical
Publication of KR101027725B1 publication Critical patent/KR101027725B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

PURPOSE: A security system is provided to protect a previously connected session or a new session even an error occurred in a data transmission control unit. CONSTITUTION: A proxy ACL(Access Control List) part(220) establishes a destination address of a data packet to a database management system server(300). A transmission control unit(230) generates an allow signal or a command data with a cutoff signal. If the command data has an allowance signal, a transmission waiting line unit(240) transmits the data packet to the database management system server.

Description

가용성 보장을 위한 프록시 기반의 보안시스템{Security System}Proxy-based security system to guarantee availability {Security System}

본 발명은 프록시 기반의 보안시스템의 가용성 보장을 위한 패킷 제어 모듈 및 장치 기술에 관한 것이다.The present invention relates to a packet control module and device technology for ensuring the availability of proxy-based security system.

도 1은 종래 기술에 따른 보안시스템을 경유한 사용자 컴퓨터와 데이터베이스 관리시스템 서버의 논리적 연결을 나타낸 도이다.1 is a view showing a logical connection between a user computer and a database management system server via a security system according to the prior art.

도 1에 도시된 바와 같이, 사용자 컴퓨터(400)는 데이터베이스 관리시스템 서버(600)에 접속하기 위한 데이터 패킷을 생성하는 프로그램인 데이터베이스 툴(410)과, 데이터 패킷이 데이터베이스 관리시스템 서버(600)로 직접전송되기 전에 보안시스템(500)을 경유하도록 데이터 패킷의 목적지 주소를 데이터베이스 관리시스템 서버(600)에서 보안시스템(500)으로 변조하는 주소변환방식의 프록시 보안 모듈(420) 및, LAN카드와 같은 이더넷 인터페이스(430)를 포함한다.As shown in FIG. 1, the user computer 400 includes a database tool 410 which is a program for generating a data packet for accessing the database management system server 600, and the data packet is sent to the database management system server 600. Proxy security module 420 of the address translation method that modulates the destination address of the data packet from the database management system server 600 to the security system 500 so as to pass through the security system 500 before being directly transmitted, and a LAN card. Ethernet interface 430 is included.

또한, 보안시스템(500)은 사용자컴퓨터의 주소변환방식의 프록시 보안 모듈(420)에 의해 전송된 데이터 패킷을 수신하는 제1 소켓부(510)와, 보안시스템 정책 프로그램을 구비하고 전송된 데이터 패킷을 보안시스템 정책 프로그램을 이용하여 분석함으로써, 데이터 패킷의 전송허용 여부를 판단하고, 전송을 허용하는 경우 데이터 패킷의 출발지 주소를 보안시스템(500)으로 변조하고 목적지 주소를 데이터베이스 관리시스템 서버(600)로 변조하여 데이터베이스 관리시스템 서버(600)로 전송하도록 제어하며, 전송을 차단하는 경우 차단메시지를 갖는 데이터 패킷을 생성하여 사용자 컴퓨터(400)로 전송하도록 제어하는 전송제어부(520)와, 전송제어부(520)의 제어에 따라 사용자 컴퓨터로(400)부터 전송된 데이터 패킷 또는 차단메시지를 갖는 데이터 패킷을 전송하는 제2 소켓부(530)를 포함한다.In addition, the security system 500 includes a first socket unit 510 for receiving a data packet transmitted by the proxy security module 420 of an address translation method of a user computer, and a data packet transmitted with a security system policy program. Determining whether to allow the transmission of the data packet by analyzing the data using a security system policy program, and if the transmission is allowed, modifies the source address of the data packet to the security system 500 and the destination address to the database management system server 600. The transmission control unit 520 and the transmission control unit for controlling to transmit to the database management system server 600, and transmits to the user computer 400 by generating a data packet having a blocking message when the transmission is blocked. Under the control of 520, the data packet transmitted from the user computer 400 or the data packet having a blocking message is transmitted. Includes a second socket portion (530).

또한, 데이터베이스 관리시스템 서버(600)는 전송된 데이터 패킷에 따라 수많은 데이터자료를 추가, 수정, 삭제하거나, 사용자 컴퓨터(400)로부터 요청되는 데이터에 응답하는 데이터베이스 서버로서, 오라클(Oracle), MS-SQL, SyBase 등의 소프트웨어를 포함한다.In addition, the database management system server 600 is a database server that adds, modifies, deletes, or responds to data requested from the user computer 400 according to the transmitted data packet. Includes software such as SQL and SyBase.

그런데, 이와 같은 종래에 따른 보안 시스템(400)은 전송제어부(520)에 장애가 발생하는 경우, 연결중이 세션이 모두 종료되는 문제점이 발생하였다.By the way, in the conventional security system 400, when a failure occurs in the transmission control unit 520, there is a problem that all the session during the connection is terminated.

본 발명은 상기의 문제점을 해결하기 위한 것으로서, 보안시스템의 전송제어부에 장애가 발생하여도 이미 연결되어 있는 세션이나 신규 세션 모두에게 영향을 주지 않도록 가용성을 보장하는 보안시스템을 제공하는데 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above problems, and an object of the present invention is to provide a security system that guarantees availability so that even if a failure occurs in the transmission control unit of the security system, it does not affect all sessions or new sessions that are already connected.

상기 목적을 달성하기 위해 본 발명에 따른 프록시 기반의 보안시스템은 사용자 컴퓨터로부터 데이터베이스 관리시스템 서버를 최종 목적지로 하는 정보가 포함된 데이터 패킷을 전송받고, 전송받은 데이터 패킷을 전송제어부와 프록시 ACL부로 전송하는 수신대기행렬부와; 수신대기행렬부로부터 데이터 패킷을 전송받아, 데이터 패킷의 목적지 주소를 데이터베이스 관리시스템 서버로 설정하여 전송대기행렬부로 전송하는 프록시 ACL부와; 수신대기행렬부로부터 전송받은 데이터 패킷을 미리 저장된 보안시스템 정책 프로그램을 이용하여 데이터 패킷의 전송허용 여부를 판단하고, 허용신호 또는 차단신호를 갖는 명령데이터를 생성하여 전송대기행렬부로 전송하는 전송제어부와; 프록시 ACL부로부터 데이터 패킷을 전송받고, 전송제어부로부터 명령데이터를 전송받아, 명령데이터가 허용신호를 갖는 경우에는 프록시 ACL부로부터 전송받은 데이터 패킷을 데이터베이스 관리시스템 서버로 전송하고, 명령데이터가 차단신호를 갖는 경우에는 프록시 ACL부로부터 전송받은 데이터 패킷의 헤더부를 제외한 정보 데이터부를 설정된 차단메시지 데이터부로 변경하여 데이터베이스 관리시스템 서버로 전송하며, 또한, 수신대기행렬부가 데이터 패킷을 전 송받은 시점부터 설정된 시간동안 전송제어부로부터 명령데이터가 전송되지 않으면 프록시 ACL부로부터 전송받은 데이터 패킷을 데이터베이스 관리시스템 서버로 전송하는 전송대기행렬부를 포함한다.In order to achieve the above object, a proxy-based security system according to the present invention receives a data packet including information of a database management system server as a final destination from a user computer, and transmits the received data packet to a transmission control unit and a proxy ACL unit. A reception queue matrix unit; A proxy ACL unit for receiving the data packet from the reception queue unit, setting the destination address of the data packet to the database management system server, and transmitting the data packet to the transmission queue unit; A transmission control unit for determining whether to allow the transmission of the data packet using a pre-stored security system policy program, generating command data having an allowance signal or a blocking signal, and transmitting the data packet received from the reception queue unit to the transmission queue unit; ; When the data packet is received from the proxy ACL unit, the command data is received from the transmission control unit, and the command data has a permission signal, the data packet received from the proxy ACL unit is transmitted to the database management system server. In the case of having a, the information data part except the header part of the data packet received from the proxy ACL part is changed to the set blocking message data part and transmitted to the database management system server, and the time set from the time when the receiving queue part receives the data packet. If the command data is not transmitted from the transmission control unit during the transmission of the data packet received from the proxy ACL unit includes a transmission queue unit for transmitting to the database management system server.

또한, 상기 프록시 ACL부는 수신대기행렬부로부터 전송받은 데이터 패킷의 출발지 주소를 해당 사용자 컴퓨터로 설정하고, 목적지 주소를 데이터베이스 관리시스템 서버로 설정하여 전송대기행렬부로 전송할 수도 있다.The proxy ACL unit may set the source address of the data packet received from the reception queue unit to the corresponding user computer, and set the destination address to the database management system server to transmit to the transmission queue unit.

이상과 같은 본 발명에 의하면, 보안시스템의 전송제어부에 장애가 발생하여도 이미 연결되어 있는 세션이나 신규 세션 모두에게 영향을 주지 않아 보안시스템의 가용성을 보장할 수 있다.According to the present invention as described above, even if a failure occurs in the transmission control unit of the security system, it is possible to ensure the availability of the security system without affecting all the sessions or new sessions that are already connected.

이하, 첨부된 도면을 참조하여 상세히 설명하기로 한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 공지 구성에 대한 구체적인 설명 또는 당업자에게 자명한 사항으로서 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, when it is determined that the detailed description of related known functions or known configurations or obvious matters to those skilled in the art may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.

도 2는 본 발명에 따른 보안시스템을 경유한 사용자 컴퓨터와 데이터베이스 관리시스템 서버의 논리적 연결을 나타낸 도로서, 본 발명에 따른 프록시 기반의 보안시스템(200)은 사용자 컴퓨터(100)로부터 데이터베이스 관리시스템 서버(300)를 최종 목적지로 하는 정보가 포함된 데이터 패킷을 전송받고, 전송받은 데이터 패킷을 전송제어부(230)와 프록시 ACL(Access Control List)부(220)로 전송하는 수신대기행렬부(210)와; 수신대기행렬부(210)로부터 데이터 패킷을 전송받아, 데이터 패킷의 목적지 주소를 데이터베이스 관리시스템 서버(300)로 설정하여 전송대기행렬부(240)로 전송하는 프록시 ACL부(220)와; 수신대기행렬부(210)로부터 전송받은 데이터 패킷을 미리 저장된 보안시스템 정책 프로그램을 이용하여 데이터 패킷의 전송허용 여부를 판단하고, 허용신호 또는 차단신호를 갖는 명령데이터를 생성하여 전송대기행렬부(240)로 전송하는 전송제어부(230)와; 프록시 ACL부(220)로부터 데이터 패킷을 전송받고, 전송제어부(230)로부터 명령데이터를 전송받아, 명령데이터가 허용신호를 갖는 경우에는 프록시 ACL부(220)로부터 전송받은 데이터 패킷을 데이터베이스 관리시스템 서버(300)로 전송하고, 명령데이터가 차단신호를 갖는 경우에는 프록시 ACL부(220)로부터 전송받은 데이터 패킷의 헤더부를 제외한 정보 데이터부를 설정된 차단메시지 데이터부로 변경하여 데이터베이스 관리시스템 서버(300)로 전송하며, 또한, 수신대기행렬부(210)가 데이터 패킷을 전송받은 시점부터 설정된 시간동안 전송제어부(230)로부터 명령데이터가 전송되지 않으면 프록시 ACL부(220)로부터 전송받은 데이터 패킷을 데이터베이스 관리시스템 서버(300)로 전송하는 전송대기행렬부(240)를 포함한다.2 is a diagram illustrating a logical connection between a user computer and a database management system server via a security system according to the present invention. The proxy-based security system 200 according to the present invention is a database management system server from a user computer 100. Receive queue matrix 210 for receiving a data packet including the information 300 as the final destination, and transmits the received data packet to the transmission control unit 230 and the proxy ACL (Access Control List) unit 220 Wow; A proxy ACL unit 220 receiving the data packet from the reception queue unit 210, setting the destination address of the data packet to the database management system server 300 and transmitting the data packet to the transmission queue unit 240; The data queue received from the reception queue matrix unit 210 determines whether to allow the transmission of the data packet using a pre-stored security system policy program, and generates command data having a permission signal or a block signal to transmit the data queue 240. Transmission control unit 230 for transmitting to; When the data packet is received from the proxy ACL unit 220, the command data is received from the transmission control unit 230, and the command data has a permission signal, the data packet received from the proxy ACL unit 220 is transferred to the database management system server. If the command data has a cutoff signal, the command data is changed to the set blocking message data part except for the header part of the data packet received from the proxy ACL part 220 and transmitted to the database management system server 300. If the command data is not transmitted from the transmission control unit 230 for a predetermined time from the time at which the reception queue matrix 210 receives the data packet, the database management system server receives the data packet received from the proxy ACL unit 220. And a transmission queue matrix 240 for transmitting to 300.

이 때, 상기 사용자 컴퓨터(100)는 데이터베이스 관리시스템 서버(300)에 접속하기 위한 데이터 패킷을 생성하는 프로그램인 데이터베이스 툴(110)과, 데이터 패킷이 데이터베이스 관리시스템 서버(300)로 직접 전송되기 전에 보안시스템(200)을 경유하도록 데이터 패킷의 목적지 주소를 데이터베이스 관리시스템 서버(300)에 서 보안시스템(200)으로 변조하는 주소변환방식의 프록시 보안 모듈(120) 및, LAN카드와 같은 이더넷 인터페이스(130)를 포함한다.At this time, the user computer 100 is a database tool 110 which is a program for generating a data packet for accessing the database management system server 300 and before the data packet is directly transmitted to the database management system server 300. Proxy security module 120 of the address translation method for modulating the destination address of the data packet from the database management system server 300 to the security system 200 via the security system 200, and an Ethernet interface such as a LAN card ( 130).

또한, 상기 데이터베이스 관리시스템(DBMS : database management system) 서버(300)는 전송된 데이터 패킷에 따라 수많은 데이터자료를 추가, 수정, 삭제하거나, 사용자 컴퓨터(100)로부터 요청되는 데이터를 제공하는 데이터베이스 서버를 의미하는 것으로서, 오라클(Oracle), MS-SQL, SyBase 등의 소프트웨어를 포함한다. In addition, the database management system (DBMS) server 300 includes a database server that adds, modifies, deletes, or provides a data request from the user computer 100 according to the transmitted data packet. Meaning, it includes software such as Oracle, MS-SQL and SyBase.

상기 데이터베이스 툴(110)은 사용자 컴퓨터(100)에 설치되며, 데이터베이스 관리시스템 서버(300)에 접속하여 SQL을 실행하고, 결과를 확인하는 프로그램으로서, SQLPLUS, TOAD, MS-SQL Enterprise Manager 등의 프로그램이 있다.The database tool 110 is installed in the user computer 100, is a program for connecting to the database management system server 300 to execute SQL, and check the results, such as SQLPLUS, TOAD, MS-SQL Enterprise Manager There is this.

상기 보안시스템(200)의 수신대기행렬부(210)는 보안시스템(200)으로 유입되는 네트워크의 데이터 패킷을 복제하여 전송제어부(230)와 프록시 ACL에 복제한 데이터 패킷을 전송하고, 원본 패킷은 버리는 프로그램을 포함한다. 이때, 수신대기행렬부(210)에서 수신되는 데이터 패킷은 사용자 컴퓨터(100)의 주소변환방식의 프록시 보안모듈(120)에 의해 목적지 주소가 데이터베이스 관리시스템 서버(300)에서 보안시스템(200)으로 설정된 데이터 패킷이며, 해당 데이터 패킷에는 데이터베이스 관리시스템 서버(300)를 최종 목적지로 하는 정보가 포함된다.The reception queue matrix 210 of the security system 200 replicates the data packet of the network flowing into the security system 200 and transmits the data packet copied to the transmission control unit 230 and the proxy ACL, and the original packet is Include a discarding program. At this time, the data packet received from the reception queue matrix unit 210 is the destination address from the database management system server 300 to the security system 200 by the proxy security module 120 of the address translation method of the user computer 100. The data packet is set, and the data packet includes information for which the database management system server 300 is the final destination.

상기 프록시 ACL부(220)는 수신대기행렬부(210)로부터 데이터 패킷을 전송받아, 데이터 패킷의 헤더부의 목적지 주소를 데이터베이스 관리시스템 서버(300)로 설정하여 전송대기행렬부(240)로 전송한다. 또한, 일실시예로써, 상기 프록시 ACL부(220)는 수신대기행렬부(210)로부터 전송받은 데이터 패킷의 헤더부의 출발지 주 소를 해당 사용자 컴퓨터(100)로 설정하고, 목적지 주소를 데이터베이스 관리시스템 서버(300)로 설정하여 전송대기행렬부(240)로 전송할 수 있다. 이에 따라, 데이터베이스 관리시스템 서버(300)는 실제 접속한 사용자 컴퓨터(100)의 IP 주소를 정확히 파악할 수 있게 되며, 데이터 패킷에 대한 응답 데이터패킷을 보안시스템(200)을 거치지 않고 사용자 컴퓨터(100)로 직접 전송할 수 있게 된다.The proxy ACL unit 220 receives the data packet from the reception queue unit 210, sets the destination address of the header portion of the data packet to the database management system server 300, and transmits the data packet to the transmission queue unit 240. . Further, as an embodiment, the proxy ACL unit 220 sets the starting address of the header portion of the data packet received from the reception queue matrix 210 to the corresponding user computer 100, and sets the destination address to the database management system. The server 300 may be set and transmitted to the transmission queue matrix 240. Accordingly, the database management system server 300 can accurately determine the IP address of the user computer 100 actually connected, and the user computer 100 without passing through the security system 200 a response data packet to the data packet. Can be sent directly.

상기 전송제어부(230)의 보안시스템 정책 프로그램은 수신대기행렬부(210)로부터 전송된 데이터 패킷의 사용자 IP, DBMS 계정, 데이터베이스 툴 정보를 이용하여 보안시스템의 정책에 적합한지를 판단함으로써, 데이터 패킷의 전송허용여부를 판단하게 된다. 참고로, 보안시스템의 정책은 크게 접속제어정책과, 권한제어정책으로 나뉠수 있다. 접속제어정책은 데이터베이스 관리시스템 서버(300)로의 접속을 제어하는 정책으로서 인가받은 사용자 IP, DBMS 계정, 데이터베이스 툴로 데이터베이스 관리시스템 서버(300)에 접속을 허용할지 또는 차단할지를 결정하는 정책이며, 권한제어정책은 데이터베이스 관리시스템 서버(300)에 접속된 사용자 컴퓨터들의 권한을 제어하는 정책으로서 인가받은 사용자 IP, DBMS 계정, 데이터베이스 툴로 데이터베이스 관리시스템 서버(300)에 SQL의 실행을 허용할지 차단할지를 결정하는 정책이다. 또한, 본 발명은 데이터 패킷의 허용여부를 판단하는 기술에 특징이 있는 것이 아니므로 자세한 설명은 생략하기로 한다.The security system policy program of the transmission control unit 230 determines whether the security system policy is suitable by using the user IP, the DBMS account, and the database tool information of the data packet transmitted from the reception queue matrix 210, thereby determining the It is determined whether to allow transmission. For reference, the security system policy can be divided into access control policy and authority control policy. The access control policy is a policy for controlling access to the database management system server 300. The access control policy determines whether to allow or block access to the database management system server 300 with an authorized user IP, a DBMS account, or a database tool. The policy controls the authority of the user computers connected to the database management system server 300. The policy determines whether to allow or block the execution of SQL on the database management system server 300 by using an authorized user IP, a DBMS account, and a database tool. to be. In addition, since the present invention is not characterized in the technology for determining whether to allow the data packet, a detailed description thereof will be omitted.

또한, 상기 전송제어부(230)는 데이터패킷의 허용여부를 판단한 후, 허용신호 또는 차단신호를 갖는 명령데이터를 생성하여 전송대기행렬부(240)로 전송하는 기능을 한다.In addition, the transmission control unit 230 determines whether to allow the data packet, and generates a command data having a permission signal or a blocking signal and transmits the command data to the transmission queue matrix 240.

한편 전송대기행렬부(240)는 프록시 ACL부(220)와 전송제어부(230)로부터 각각 데이터 패킷과 해당 데이터패킷에 대한 명령데이터를 전송받아서, 명령데이터가 허용신호를 갖는 경우에는 프록시 ACL부(220)로부터 전송받은 데이터 패킷을 데이터베이스 관리시스템 서버(300)로 전송하고, 명령데이터가 차단신호를 갖는 경우에는 프록시 ACL부(220)로부터 전송받은 데이터 패킷의 헤더부를 제외한 정보데이터부를 설정된 차단메시지 데이터부로 변경하여 데이터베이스 관리시스템 서버(300)로 전송한다. 이 때, 수신대기행렬부(210)가 데이터 패킷을 전송받은 시점부터 설정된 시간동안 전송제어부(230)로부터 명령데이터가 전송되지 않으면, 프록시 ACL부(220)로부터 전송받은 데이터 패킷을 허용여부에 대한 판단없이 데이터베이스 관리시스템 서버(300)로 전송한다. 이로써, 전송제어부(230)에 장애가 발생하여도 이미 연결되어 있는 세션이나 신규 세션 모두에게 영향을 주지 않아 보안시스템(200)의 가용성을 보장할 수 있다.On the other hand, the transmission queue unit 240 receives the data packet and the command data for the data packet from the proxy ACL unit 220 and the transmission control unit 230, respectively, if the command data has a permission signal proxy ACL unit ( When the data packet received from 220 is transmitted to the database management system server 300, and the command data has a blocking signal, the blocking message data set by the information data unit excluding the header part of the data packet received from the proxy ACL unit 220 is transmitted. Change to negative to transmit to the database management system server (300). At this time, if command data is not transmitted from the transmission control unit 230 for a predetermined time from the time point at which the reception queue matrix unit 210 receives the data packet, the received data packet received from the proxy ACL unit 220 is allowed. It transmits to the database management system server 300 without judgment. Thus, even if a failure occurs in the transmission control unit 230, it is possible to ensure the availability of the security system 200 without affecting all of the sessions or new sessions that are already connected.

또한, 본 발명에 따른 바람직한 일실시예로써, 보안시스템(200)은 전송제어부(230)의 장애여부를 판단하는 장애감지부(미도시)를 더 구비하여 전송대기행렬부(240)로 설정된 시간동안 명령데이터 전송을 하지 않으면, 보안시스템(200)의 관리자 즉 설정된 연락망(예로써, 메일, SMS)으로 장애발생신호 및 장애발생시간을 포함하는 정보를 전송하도록 하는 것이 바람직하다. 또는 장애감지부와 연결된 알람부(미도시)를 더 구비하여 장애감지부가 장애발생시 알람부를 작동하도록 제어할 수도 있다.In addition, as a preferred embodiment according to the present invention, the security system 200 is further provided with a failure detection unit (not shown) for determining whether or not the transmission control unit 230, the time set by the transmission queue matrix 240 If the command data is not transmitted for a while, it is preferable to transmit information including a fault occurrence signal and a fault occurrence time to the administrator of the security system 200, that is, the established contact network (for example, mail and SMS). Alternatively, an error unit (not shown) connected to the failure detection unit may be further provided to control the failure detection unit to operate the alarm unit when a failure occurs.

본 발명에 따른 프록시 기반의 보안시스템은 보안성도 중요시 하지만, 데이 터 전송의 가용성을 보다 중요시하는 환경에 적합하도록 설계되었으며, 이상, 본 발명에 대하여 도면과 실시예를 가지고 설명하였으나, 본 발명은 특정 실시예에 한정되지 않으며, 이 기술분야에서 통상의 지식을 가진 자라면 본 발명의 범위에서 벗어나지 않으면서 많은 수정과 변형이 가능함을 이해할 것이다. 또한, 상기 도면은 발명의 이해를 돕기 위해 도시된 것으로서, 청구범위를 한정하도록 이해해서는 아니될 것이다. The proxy-based security system according to the present invention is designed to be suitable for an environment in which security is also important, but more importantly for the availability of data transmission. The present invention has been described above with reference to the drawings and embodiments, but the present invention is specific. Without being limited to the examples, those skilled in the art will understand that many modifications and variations are possible without departing from the scope of the invention. In addition, the drawings are shown for the purpose of understanding the invention and should not be understood to limit the scope of the claims.

도 1은 종래 기술에 따른 보안시스템을 경유한 사용자 컴퓨터와 데이터베이스 관리시스템 서버의 논리적 연결을 나타낸 도이며,1 is a view showing a logical connection between a user computer and a database management system server via a security system according to the prior art,

도 2는 본 발명에 따른 보안시스템을 경유한 사용자 컴퓨터와 데이터베이스 관리시스템 서버의 논리적 연결을 나타낸 도이다.2 is a diagram illustrating a logical connection between a user computer and a database management system server via a security system according to the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for main parts of the drawings>

100, 400 : 사용자 컴퓨터 200, 500 : 보안시스템100, 400: User computer 200, 500: Security system

300, 600 : 데이터베이스 관리시스템 서버 300, 600: database management system server

110, 410 : 데이터베이스 툴110, 410: database tools

120, 420 : 주소변환 방식의 프록시 보안 모듈120, 420: proxy security module of address translation method

130, 430 : 이더넷 인터페이스130, 430: Ethernet interface

210 : 수신대기 행렬부 220 : 프록시 ACL부210: reception queue matrix unit 220: proxy ACL unit

230 : 전송제어부 240 : 전송대기 행렬부230: transmission control unit 240: transmission standby matrix unit

Claims (2)

사용자 컴퓨터(100)로부터 데이터베이스 관리시스템 서버(300)를 최종 목적지로 하는 정보가 포함된 데이터 패킷을 전송받고, 전송받은 데이터 패킷을 전송제어부(230)와 프록시 ACL부(220)로 전송하는 수신대기행렬부(210)와;Receiving a data packet containing the information to the database management system server 300 as the final destination from the user computer 100, and receiving the transmission of the received data packet to the transmission control unit 230 and the proxy ACL unit 220 A matrix unit 210; 수신대기행렬부(210)로부터 데이터 패킷을 전송받아, 데이터 패킷의 목적지 주소를 데이터베이스 관리시스템 서버(300)로 설정하여 전송대기행렬부(240)로 전송하는 프록시 ACL부(220)와;A proxy ACL unit 220 receiving the data packet from the reception queue unit 210, setting the destination address of the data packet to the database management system server 300 and transmitting the data packet to the transmission queue unit 240; 수신대기행렬부(210)로부터 전송받은 데이터 패킷을 미리 저장된 보안시스템 정책 프로그램을 이용하여 데이터 패킷의 전송허용 여부를 판단하고, 허용신호 또는 차단신호를 갖는 명령데이터를 생성하여 전송대기행렬부(240)로 전송하는 전송제어부(230)와;The data queue received from the reception queue matrix unit 210 determines whether to allow the transmission of the data packet using a pre-stored security system policy program, and generates command data having a permission signal or a block signal to transmit the data queue 240. Transmission control unit 230 for transmitting to; 프록시 ACL부(220)로부터 데이터 패킷을 전송받고, 전송제어부(230)로부터 명령데이터를 전송받아, 명령데이터가 허용신호를 갖는 경우에는 프록시 ACL부(220)로부터 전송받은 데이터 패킷을 데이터베이스 관리시스템 서버(300)로 전송하고, 명령데이터가 차단신호를 갖는 경우에는 프록시 ACL부(220)로부터 전송받은 데이터 패킷의 헤더부를 제외한 정보 데이터부를 설정된 차단메시지 데이터부로 변경하여 데이터베이스 관리시스템 서버(300)로 전송하며, 또한, 수신대기행렬부(210)가 데이터 패킷을 전송받은 시점부터 설정된 시간동안 전송제어부(230)로부터 명령데이터가 전송되지 않으면 프록시 ACL부(220)로부터 전송받은 데이터 패킷 을 데이터베이스 관리시스템 서버(300)로 전송하는 전송대기행렬부(240)를 포함하는 프록시 기반의 보안시스템.When the data packet is received from the proxy ACL unit 220, the command data is received from the transmission control unit 230, and the command data has a permission signal, the data packet received from the proxy ACL unit 220 is transferred to the database management system server. If the command data has a cutoff signal, the command data is changed to the set blocking message data part except for the header part of the data packet received from the proxy ACL part 220 and transmitted to the database management system server 300. Also, if the command queue is not transmitted from the transmission control unit 230 for a predetermined time from the time when the reception queue unit 210 receives the data packet, the database management system server receives the data packet received from the proxy ACL unit 220. Proxy-based security system comprising a transmission queue unit 240 to transmit to (300). 제 1 항에 있어서,The method of claim 1, 상기 프록시 ACL부(220)는 수신대기행렬부(210)로부터 전송받은 데이터 패킷의 출발지 주소를 해당 사용자 컴퓨터(100)로 설정하고, 목적지 주소를 데이터베이스 관리시스템 서버(300)로 설정하여 전송대기행렬부(240)로 전송하는 것을 특징으로 하는 프록시 기반의 보안시스템.The proxy ACL unit 220 sets the source address of the data packet received from the reception queue unit 210 to the corresponding user computer 100, and sets the destination address to the database management system server 300 to transmit the queue. Proxy-based security system, characterized in that the transmission to the unit (240).
KR1020090132584A 2009-12-29 2009-12-29 Security system KR101027725B1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020090132584A KR101027725B1 (en) 2009-12-29 2009-12-29 Security system
JP2012547001A JP2013516016A (en) 2009-12-29 2010-12-23 Proxy-based security system to ensure availability
PCT/KR2010/009273 WO2011081358A2 (en) 2009-12-29 2010-12-23 Proxy-based security system for guaranteeing availability

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090132584A KR101027725B1 (en) 2009-12-29 2009-12-29 Security system

Publications (1)

Publication Number Publication Date
KR101027725B1 true KR101027725B1 (en) 2011-04-12

Family

ID=44049771

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090132584A KR101027725B1 (en) 2009-12-29 2009-12-29 Security system

Country Status (3)

Country Link
JP (1) JP2013516016A (en)
KR (1) KR101027725B1 (en)
WO (1) WO2011081358A2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101259471B1 (en) * 2012-10-08 2013-05-06 에스지앤 주식회사 Proxy server and computer readable recording medium
KR101316903B1 (en) 2012-09-19 2013-10-11 주식회사 시큐아이 Method and appratus for synchronizing session in high availability system
WO2015012422A1 (en) * 2013-07-24 2015-01-29 Kim Hangjin Method for dealing with ddos attack and guaranteeing business continuity by using "2d matrix-based distributed access network"
KR20200030409A (en) * 2018-09-12 2020-03-20 주식회사 에스원 Proxy system for linkage between management server and external device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070026331A (en) * 2003-11-11 2007-03-08 사이트릭스 게이트웨이즈, 아이엔씨. System, apparatus and method for establishing a secured communications link to form a virtual private network at a network protocol layer other than that at which packets are filtered
KR20070114501A (en) * 2006-05-29 2007-12-04 주식회사 케이티 Url(uniform resource locator) filtering system and method

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11298484A (en) * 1998-04-08 1999-10-29 Mitsubishi Electric Corp Atm communication regulation system
US6584567B1 (en) * 1999-06-30 2003-06-24 International Business Machines Corporation Dynamic connection to multiple origin servers in a transcoding proxy
US7661129B2 (en) * 2002-02-26 2010-02-09 Citrix Systems, Inc. Secure traversal of network components
JP2006270894A (en) * 2005-03-25 2006-10-05 Fuji Xerox Co Ltd Gateway unit, terminal device, communications system and program
US7716284B2 (en) * 2006-02-28 2010-05-11 Microsoft Corporation Subsystem-scoping architecture for breakout rooms in a virtual space

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070026331A (en) * 2003-11-11 2007-03-08 사이트릭스 게이트웨이즈, 아이엔씨. System, apparatus and method for establishing a secured communications link to form a virtual private network at a network protocol layer other than that at which packets are filtered
KR20070114501A (en) * 2006-05-29 2007-12-04 주식회사 케이티 Url(uniform resource locator) filtering system and method

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101316903B1 (en) 2012-09-19 2013-10-11 주식회사 시큐아이 Method and appratus for synchronizing session in high availability system
KR101259471B1 (en) * 2012-10-08 2013-05-06 에스지앤 주식회사 Proxy server and computer readable recording medium
WO2015012422A1 (en) * 2013-07-24 2015-01-29 Kim Hangjin Method for dealing with ddos attack and guaranteeing business continuity by using "2d matrix-based distributed access network"
KR20200030409A (en) * 2018-09-12 2020-03-20 주식회사 에스원 Proxy system for linkage between management server and external device
KR102155561B1 (en) 2018-09-12 2020-09-14 주식회사 에스원 Proxy system for linkage between management server and external device

Also Published As

Publication number Publication date
JP2013516016A (en) 2013-05-09
WO2011081358A3 (en) 2011-11-10
WO2011081358A2 (en) 2011-07-07

Similar Documents

Publication Publication Date Title
US10678913B2 (en) Apparatus and method for enhancing security of data on a host computing device and a peripheral device
US7788366B2 (en) Centralized network control
US20130159723A1 (en) Methods, apparatus and systems for monitoring locations of data within a network service
US20130107312A1 (en) Location-based print notifications
US10027681B2 (en) Trusted device control messages
KR101027725B1 (en) Security system
US20210021440A1 (en) Presenter server for brokering presenter clients
CN111314381A (en) Safety isolation gateway
US20160092690A1 (en) Secure copy and paste of mobile app data
CN105721613A (en) Method and system for virtual desktop to close cloud terminal through one touch
CN111726328A (en) Method, system and related device for remotely accessing a first device
US20240012700A1 (en) Governing Access To Third-Party Application Programming Interfaces
KR102094315B1 (en) Network Separation System Based On Access Point Allocation Per Account
US20230074455A1 (en) System and method for monitoring delivery of messages passed between processes from different operating systems
WO2020038106A1 (en) Bmc management method and system and related device
US10333792B2 (en) Modular controller in software-defined networking environment and operating method thereof
US11818134B1 (en) Validating application programming interface (API) requests to infrastructure systems hosted in a cloud computing environment
US10819614B2 (en) Network monitoring apparatus and network monitoring method
KR100657851B1 (en) Method and system for managing network resource
CN117034330B (en) macOS-based safety protection method, macOS-based safety protection equipment and storage medium
CN111131152A (en) Automatic verification method and system for cross-platform remote login protection system
US11671417B2 (en) Information processing apparatus and non-transitory computer readable medium
WO2017047087A1 (en) Data inspection system, data inspection method, and storage medium storing program therefor
EP4145318A1 (en) System and method for monitoring delivery of messages passed between processes from different operating systems
US8670332B2 (en) Systems and methods for notifying users of a network resource outage

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190131

Year of fee payment: 9